CRITICAL🇬🇧 English

CVE-2024-36532

Insecure permissions w kruise v1.6.2 — eskalacja uprawnień przez token konta serwisowego

CVSS 10.0v3.1pub. 2024-06-21upd. 2026-04-15

Podatność w kruise v1.6.2 wynikająca z nieprawidłowo skonfigurowanych uprawnień (CWE-281) umożliwia nieuwierzytelnionemu atakującemu uzyskanie dostępu do wrażliwych danych. Krytyczny wynik CVSS 10.0 wskazuje na możliwość pełnego przejęcia środowiska.

Pokaż oryginał (EN)

Insecure permissions in kruise v1.6.2 allows attackers to access sensitive data and escalate privileges by obtaining the service account's token.

🤖 Analiza AI
Jak działa

Atakujący może uzyskać token konta serwisowego (service account token) w wyniku nieprawidłowo przyznanych uprawnień w aplikacji kruise. Pozyskany token pozwala na uwierzytelnienie się jako konto serwisowe w klastrze Kubernetes. Dzięki temu atakujący uzyskuje dostęp do zasobów i danych, do których ma uprawnienia skompromitowane konto, co prowadzi do privilege escalation.

Skutki

Atakujący może uzyskać dostęp do wrażliwych danych oraz dokonać eskalacji uprawnień (privilege escalation) w środowisku, potencjalnie przejmując kontrolę nad zasobami klastra Kubernetes.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się aktualizację kruise do wersji wyższej niż v1.6.2 oraz weryfikację i ograniczenie uprawnień kont serwisowych zgodnie z zasadą najmniejszych uprawnień (least privilege).

Kogo dotyczy

kruise v1.6.2

Uwagi

Szczegóły techniczne podatności zostały opublikowane w formie publicznego gist na GitHub (autor: HouqiyuA), co oznacza dostępność informacji o exploitacji dla potencjalnych atakujących.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje