CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2023-32191

Critical
Published: Translated: NVD NIST

Summary

Podatność CVE-2023-32191 dotyczy sposobu, w jaki RKE przechowuje stan klastra w configmapie o nazwie `full-cluster-state` w przestrzeni nazw `kube-system`. Informacje te mogą być wykorzystane przez użytkowników nieposiadających uprawnień administratora do eskalacji swoich uprawnień do poziomu administratora.

Risk Assessment

Ryzyko związane z tą podatnością polega na możliwości nieautoryzowanego uzyskania uprawnień administratora przez nieuprawnionych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa w klastrze.

Recommendation

Zaleca się ograniczenie dostępu do configmapy `full-cluster-state` oraz przegląd uprawnień użytkowników w klastrze, aby zapobiec eskalacji uprawnień.

Original NVD description (English source)

When RKE provisions a cluster, it stores the cluster state in a configmap called `full-cluster-state` inside the `kube-system` namespace of the cluster itself. The information available in there allows non-admin users to escalate to admin.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS