CVE-2024-7387
KrytyczneStreszczenie
W openshift/builder znaleziono lukę, która umożliwia wstrzykiwanie poleceń poprzez przejście ścieżki. Złośliwy użytkownik może wykonać dowolne polecenia na węźle OpenShift uruchamiającym kontener builder.
Ocena ryzyka
Atakujący mogą uzyskać podwyższone uprawnienia na węźle, co stwarza poważne zagrożenie dla bezpieczeństwa całej infrastruktury OpenShift.
Rekomendacja
Zaleca się ograniczenie dostępu do kontenerów budujących oraz przegląd konfiguracji `BuildConfig`, aby zminimalizować ryzyko wstrzykiwania poleceń.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in openshift/builder. This vulnerability allows command injection via path traversal, where a malicious user can execute arbitrary commands on the OpenShift node running the builder container. When using the “Docker” strategy, executable files inside the privileged build container can be overridden using the `spec.source.secrets.secret.destinationDir` attribute of the `BuildConfig` definition. An attacker running code in a privileged container could escalate their permissions on the node running the container.

