Katalog CVE

CVE-2023-34242

NiskieCVSS 3.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

Cilium, rozwiązanie do sieci, obserwowalności i bezpieczeństwa, przed wersją 1.13.4 miało lukę, która pozwalała na niezamierzone uzyskanie dostępu do sekretów i usług w różnych przestrzeniach nazw, gdy włączono API Gateway. Brak kontroli nad przestrzenią nazw przy tworzeniu ReferenceGrant umożliwiał atakującym wykorzystanie sekretów, które nie powinny być dla nich widoczne.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do wrażliwych danych i usług, co może prowadzić do poważnych incydentów bezpieczeństwa. Atakujący mogą wykorzystać tę lukę do komunikacji z usługami, do których nie mają uprawnień.

Rekomendacja

Zaleca się aktualizację Cilium do wersji 1.13.4 lub nowszej. Alternatywnie, należy ograniczyć tworzenie zasobów ReferenceGrant do użytkowników administracyjnych za pomocą RBAC w Kubernetes.

Oryginalny opis (angielski, źródło NVD)

Cilium is a networking, observability, and security solution with an eBPF-based dataplane. Prior to version 1.13.4, when Gateway API is enabled in Cilium, the absence of a check on the namespace in which a ReferenceGrant is created could result in Cilium unintentionally gaining visibility of secrets (including certificates) and services across namespaces. An attacker on an affected cluster can leverage this issue to use cluster secrets that should not be visible to them, or communicate with services that they should not have access to. Gateway API functionality is disabled by default. This vulnerability is fixed in Cilium release 1.13.4. As a workaround, restrict the creation of `ReferenceGrant` resources to admin users by using Kubernetes RBAC.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS