Karmada (Kubernetes Armada) 中发现了一个高危漏洞 (CVE-2024-56513) ,该管理平台旨在促进跨多个 Kubernetes 集群和云的云原生应用程序。该漏洞的 CVSSv4 评分为 8.7,对使用 Karmada 的 PULL 模式集群的系统构成严重威胁。
CVE-2024-56513 漏洞存在于通过karmadactl register命令注册的 PULL 模式集群被授予过多权限 。这些集群旨在简化多云和混合云应用程序管理,却无意中暴露了关键的控制平面资源。能够以 karmada-agent 身份进行身份验证的攻击者可以利用这些权限获得对整个联合系统(包括所有成员集群)的管理控制权。
这种权限提升可能导致:
未经授权访问敏感配置数据。
操纵或破坏应用程序流量调度。
跨成员集群的潜在横向攻击。
该漏洞影响 Karmada 1.12.0 之前的所有版本。Karmada 已发布 1.12.0 版本,其中包含针对此漏洞的补丁。强烈建议用户尽快升级到此版本或更高版本。
对于无法立即升级的用户,Karmada 的组件权限文档提供了有关限制 PULL 模式集群访问权限的指导。实施这些配置可以降低漏洞利用风险,直到可以进行全面升级为止。
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
