Vulnerabilidad en Hwameistor (CVE-2024-45054)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/08/2024
Última modificación:
12/09/2024
Descripción
Hwameistor es un sistema de almacenamiento local de alta disponibilidad para cargas de trabajo nativas de la nube con estado. Este ClusterRole tiene * verbos de * recursos. Si un usuario malintencionado puede acceder al nodo de trabajo que tiene la implementación de hwameistor, puede abusar de estos permisos excesivos para hacer lo que quiera con todo el clúster, lo que da como resultado una escalada de privilegios a nivel de clúster. Este problema se ha corregido en la versión 0.14.6. Se recomienda a todos los usuarios que actualicen. Los usuarios que no puedan actualizar deben actualizar y limitar el ClusterRole mediante security-role.
Impacto
Puntuación base 3.x
6.70
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hwameistor:hwameistor:*:*:*:*:*:go:*:* | 0.14.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/hwameistor/hwameistor/blob/main/helm/hwameistor/templates/clusterrole.yaml
- https://github.com/hwameistor/hwameistor/commit/edf4cebed73cadd230bf97eab65c5311f2858450
- https://github.com/hwameistor/hwameistor/issues/1457
- https://github.com/hwameistor/hwameistor/issues/1460
- https://github.com/hwameistor/hwameistor/security/advisories/GHSA-mgwr-h7mv-fh29