Informazioni sul CVE-2024-45497
Openshift-api: build process in openshift allows overwriting of node pull credentials
CWE ID: CWE-732
Base Score (CVSS): N/A
CVE: CVE-2024-45497
Descrizione: A flaw was found in the OpenShift build process, where the docker-build container is configured with a hostPath volume mount that maps the node’s /var/lib/kubelet/config.json file into the build pod. This file contains sensitive credentials necessary for pulling images from private repositories. The mount is not read-only, which allows the attacker to overwrite it. By modifying the config.json file, the attacker can cause a denial of service by preventing the node from pulling new images and potentially exfiltrating sensitive secrets. This flaw impacts the availability of services dependent on image pulls and exposes sensitive information to unauthorized parties.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: None, Confidenzialità: Low, Integrità: Low, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://access.redhat.com/security/cve/CVE-2024-45497
- https://bugzilla.redhat.com/show_bug.cgi?id=2308673
Prodotti interessati
- Sconosciuto – Sconosciuto
- Red Hat – Red Hat Fuse 7
- Red Hat – Red Hat OpenShift Container Platform 4
- Red Hat – Red Hat OpenShift Container Platform 4
Relazioni con altri prodotti
Produttore:Red Hat
Prodotto: Red Hat OpenShift Container Platform 4
Anno: 2024
CWE: CWE-732
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Fuse 7
Anno: 2024
CWE: CWE-732
CVSS: 0.0