Vulnerabilidad en Openshift (CVE-2024-7079)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
24/07/2024
Última modificación:
19/09/2024
Descripción
Se encontró una falla en la consola Openshift. El endpoint /API/helm/verify tiene la tarea de buscar y verificar la instalación de un gráfico Helm desde un URI que sea HTTP/HTTPS remoto o local. El acceso a este endpoint está controlado por la función de middleware authHandlerWithUser(). Al contrario de lo que sugiere su nombre, esta función de middleware no verifica la validez de las credenciales del usuario. Como resultado, los usuarios no autenticados pueden acceder a este endpoint.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:redhat:openshift_container_platform:3.11:*:*:*:*:*:*:* | ||
cpe:2.3:a:redhat:openshift_container_platform:4.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página