CRITICAL🇬🇧 English

CVE-2024-36533

Nieprawidłowe uprawnienia w Volcano v1.8.2 umożliwiają eskalację uprawnień

CVSS 9.8v3.1pub. 2024-07-24upd. 2026-04-15

Podatność w systemie Volcano v1.8.2 wynika z nieprawidłowo skonfigurowanych uprawnień, które pozwalają atakującemu uzyskać token konta serwisowego. Umożliwia to dostęp do wrażliwych danych oraz eskalację uprawnień w środowisku.

Pokaż oryginał (EN)

Insecure permissions in volcano v1.8.2 allows attackers to access sensitive data and escalate privileges by obtaining the service account's token.

🤖 Analiza AI
Jak działa

Atakujący bez uwierzytelnienia może uzyskać dostęp do tokena konta serwisowego (service account token) z powodu zbyt liberalnych uprawnień skonfigurowanych w systemie Volcano. Pozyskany token może zostać następnie wykorzystany do uwierzytelnienia się jako uprzywilejowane konto i przejęcia większych praw dostępu w środowisku.

Skutki

Atakujący może uzyskać dostęp do wrażliwych danych oraz eskalować swoje uprawnienia (privilege escalation), potencjalnie przejmując kontrolę nad zasobami środowiska, w którym działa Volcano.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również przegląd i zaostrzenie konfiguracji uprawnień kont serwisowych w środowiskach korzystających z Volcano.

Kogo dotyczy

Volcano v1.8.2

Uwagi

Szczegóły techniczne podatności zostały opublikowane przez odkrywcę w formie publicznego gist (GitHub), co zwiększa ryzyko wykorzystania podatności. Referencja: https://gist.github.com/HouqiyuA/a0e05a26ecc80bd970ac4649faecc930

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje