Vulnerabilidad en Open Cluster Management (CVE-2024-9779)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/12/2024
Última modificación:
17/12/2024
Descripción
Se encontró una falla en Open Cluster Management (OCM) cuando un usuario tiene acceso a los nodos de trabajo que contienen las implementaciones de cluster-manager o klusterlet. La implementación de cluster-manager utiliza una cuenta de servicio con el mismo nombre "cluster-manager" que está vinculada a un ClusterRole también llamado "cluster-manager", que incluye el permiso para crear recursos de pod. Si esta implementación ejecuta un pod en un nodo controlado por un atacante, este puede obtener el token de cluster-manager y robar cualquier token de cuenta de servicio mediante la creación y el montaje de la cuenta de servicio de destino para controlar todo el clúster.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/security/cve/CVE-2024-9779
- https://bugzilla.redhat.com/show_bug.cgi?id=2317916
- https://github.com/open-cluster-management-io/ocm/pull/325
- https://github.com/open-cluster-management-io/ocm/releases/tag/v0.13.0
- https://github.com/open-cluster-management-io/registration-operator/issues/361