hwameistor 中潜在的集群级别权限泄漏 (CVE-2024-45054)

admin
admin
admin
0
文章
0
评论
2024-08-29 11:00:34 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
hwameistor 中潜在的集群级别权限泄漏 (CVE-2024-45054)

CVE编号

CVE-2024-45054

利用情况

暂无

补丁情况

N/A

披露时间

2024-08-29
漏洞描述
Hwameistor 是一个用于云原生有状态工作负载的高可用性本地存储系统。此 ClusterRole 赋予了对所有资源的通配符动词权限。如果恶意用户可以访问部署了 hwameistor 的工作节点,他/她可能会滥用这些过度权限对整群进行任何操作,从而导致集群级别的权限升级。这个问题已在版本 0.14.6 中得到修复。建议所有用户进行升级。无法升级的用户应通过安全角色更新和限制 ClusterRole。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/hwameistor/hwameistor/blob/main/helm/hwameistor/templates/...
https://github.com/hwameistor/hwameistor/commit/edf4cebed73cadd230bf97eab65c5...
https://github.com/hwameistor/hwameistor/issues/1457
https://github.com/hwameistor/hwameistor/issues/1460
https://github.com/hwameistor/hwameistor/security/advisories/GHSA-mgwr-h7mv-fh29
CVSS3评分 2.8
  • 攻击路径 本地
  • 攻击复杂度 低
  • 权限要求 高
  • 影响范围 已更改
  • 用户交互 需要
  • 可用性 无
  • 保密性 低
  • 完整性 无
CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:N/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0