中危 Kyverno 镜像验证漏洞允许攻击者控制摘要(CVE-2023-47630)
CVE编号
CVE-2023-47630利用情况
暂无补丁情况
官方补丁披露时间
2023-11-15漏洞描述
Kyverno是专为Kubernetes设计的策略引擎。(Kyverno 不是 Kubernetes 的默认组件) 在Kyverno受影响版本中,允许攻击者控制Kyverno用户使用的镜像的摘要。当攻击者入侵Kyverno获取镜像的注册表。攻击者可以返回一个存在漏洞的镜像给用户,并借此进一步提升攻击威胁。 通过摘要和受信任的注册表提取图像的用户不会受到此漏洞的影响。解决建议
"将组件 github.com/kyverno/kyverno 升级至 1.10.5 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/kyverno/kyverno/security/advisories/GHSA-3hfq-cx9j-923w |
- 攻击路径 本地
- 攻击复杂度 复杂
- 权限要求 普通权限
- 影响范围 越权影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论