Katalog CVE

CVE-2023-32191

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność CVE-2023-32191 dotyczy sposobu, w jaki RKE przechowuje stan klastra w configmapie o nazwie `full-cluster-state` w przestrzeni nazw `kube-system`. Informacje te mogą być wykorzystane przez użytkowników nieposiadających uprawnień administratora do eskalacji swoich uprawnień do poziomu administratora.

Ocena ryzyka

Ryzyko związane z tą podatnością polega na możliwości nieautoryzowanego uzyskania uprawnień administratora przez nieuprawnionych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa w klastrze.

Rekomendacja

Zaleca się ograniczenie dostępu do configmapy `full-cluster-state` oraz przegląd uprawnień użytkowników w klastrze, aby zapobiec eskalacji uprawnień.

Oryginalny opis (angielski, źródło NVD)

When RKE provisions a cluster, it stores the cluster state in a configmap called `full-cluster-state` inside the `kube-system` namespace of the cluster itself. The information available in there allows non-admin users to escalate to admin.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS