CRITICAL🇬🇧 English

CVE-2024-36540

Nieprawidłowe uprawnienia w External Secrets Operator umożliwiają privilege escalation

CVSS 9.8v3.1pub. 2024-07-24upd. 2025-06-27

Podatność w External Secrets Operator w wersji v0.9.16 wynika z nieprawidłowo skonfigurowanych uprawnień, które umożliwiają atakującemu uzyskanie tokenu konta serwisowego. Zagrożenie jest krytyczne, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika, a jego skutkiem może być pełne przejęcie kontroli nad środowiskiem.

Pokaż oryginał (EN)

Insecure permissions in external-secrets v0.9.16 allows attackers to access sensitive data and escalate privileges by obtaining the service account's token.

🤖 Analiza AI
Jak działa

Operator External Secrets zarządza synchronizacją sekretów z zewnętrznych systemów (np. Vault, AWS Secrets Manager) do Kubernetes. W wersji v0.9.16 uprawnienia przypisane do konta serwisowego operatora są nadmiernie szerokie lub błędnie skonfigurowane (CWE-277 — nieprawidłowo zachowane uprawnienia). Atakujący, który uzyska dostęp do środowiska, może pobrać token konta serwisowego, a następnie wykorzystać go do uzyskania dostępu do wrażliwych danych i eskalacji uprawnień w klastrze Kubernetes.

Skutki

Atakujący może uzyskać dostęp do wrażliwych danych przechowywanych w sekretach oraz dokonać privilege escalation — potencjalnie przejmując pełną kontrolę nad klastrem Kubernetes lub zarządzanymi zasobami chmurowymi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się audyt uprawnień kont serwisowych w klastrze Kubernetes oraz ograniczenie dostępu do tokenów kont serwisowych zgodnie z zasadą najmniejszych uprawnień (least privilege).

Kogo dotyczy

External Secrets Operator w wersji v0.9.16

Uwagi

Publiczny opis proof-of-concept dostępny jest pod adresem wskazanym w referencjach (gist.github.com/HouqiyuA). Podatność dotyczy wyłącznie wersji v0.9.16 zgodnie z opisem.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • External Secrets Operator

    APP
    External-Secrets
    0.9.16
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2026-22822CRITICAL9.3PL ✓ten sam produkt

External Secrets Operator: nieautoryzowany dostęp do sekretów między przestrzeniami nazw

CVE-2026-34984HIGH7.1ten sam produkt

External Secrets Operator reads information from a third-party service and automatically injects the values as...

CVE-2024-45041HIGH8.3ten sam produkt

External Secrets Operator is a Kubernetes operator that integrates external secret management systems. The ext...