helm 中的依赖管理路径遍历 (CVE-2024-25620)
CVE编号
CVE-2024-25620利用情况
暂无补丁情况
N/A披露时间
2024-02-15漏洞描述
Helm 是一个用于管理 Charts 的工具。Charts 是预配置的 Kubernetes 资源的包。当使用 Helm 客户端或 SDK 保存一个在 `Chart.yaml` 文件中的名称包含相对路径更改的 chart 时,根据相对路径的更改,chart 会保存在预期目录之外。验证和 linting 在名称中未检测到路径更改。该问题在 Helm v3.14.1 中已解决。无法升级的用户应检查 Helm 使用的所有 chart 的名称中在 `Chart.yaml` 文件中的路径更改,包括依赖项。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/helm/helm/commit/0d0f91d1ce277b2c8766cdc4c7aa04dbafbf2503 | |
| https://github.com/helm/helm/security/advisories/GHSA-v53g-5gjp-272r |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 已更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-22 | 对路径名的限制不恰当(路径遍历) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论