Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - CVE - CVE-2024-56513

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - CVE CVE-2024-56513
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

CVE-2024-56513

PUBLISHED 03.01.2025

CNA: GitHub_M

Karmada PULL Mode Cluster Privilege Escalation

Обновлено: 03.01.2025
Karmada is a Kubernetes management system that allows users to run cloud-native applications across multiple Kubernetes clusters and clouds. Prior to version 1.12.0, the PULL mode clusters registered with the `karmadactl register` command have excessive privileges to access control plane resources. By abusing these permissions, an attacker able to authenticate as the karmada-agent to a karmada cluster would be able to obtain administrative privileges over the entire federation system including all registered member clusters. Since Karmada v1.12.0, command `karmadactl register` restricts the access permissions of pull mode member clusters to control plane resources. This way, an attacker able to authenticate as the karmada-agent cannot control other member clusters in Karmada. As a workaround, one may restrict the access permissions of pull mode member clusters to control plane resources according to Karmada Component Permissions Docs.

CWE

Идентификатор Описание
CWE-266 CWE-266: Incorrect Privilege Assignment

БДУ ФСТЭК

Идентификатор Описание
BDU:2025-00077 Уязвимость системы управления кластерами Kubernetes для запуска облачных приложения на нескольких кластерах Karmada, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии

CVSS

Оценка Severity Версия Базовый вектор
8.7 HIGH 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Доп. Информация

Product Status

karmada
Product: karmada
Vendor: karmada-io
Default status: Не определен
Версии:
Затронутые версии Статус
Наблюдалось в версии < 1.12.0 affected
 

Ссылки

https://github.com/karmada-io/karmada/security/advisories/GHSA-mg7w-c9x2-xh7r
https://github.com/karmada-io/karmada/pull/5793
https://github.com/karmada-io/karmada/commit/2c82055c4c7f469411b1ba48c4dba4841df04831
https://karmada.io/docs/administrator/security/component-permission

CISA ADP Vulnrichment

Обновлено: 03.01.2025
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none no total 2.0.3 03.01.2025
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.