一、 漏洞 CVE-2024-10220 基础信息
漏洞信息
                                        # 通过 gitRepo 卷进行任意命令执行

## 漏洞概述
Kubernetes 的 kubelet 组件允许通过特制的 gitRepo 卷执行任意命令。

## 影响版本
- 1.28.11 及以下
- 1.29.0 到 1.29.6
- 1.30.0 到 1.30.2

## 漏洞细节
通过特制的 `gitRepo` 卷,攻击者可以向 Kubernetes 的 kubelet 组件注入并执行任意命令。

## 漏洞影响
攻击者可以利用此漏洞在目标 Kubernetes 集群上执行任意命令,导致潜在的系统级危害,包括数据泄露和系统破坏。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Arbitrary command execution through gitRepo volume
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Kubernetes kubelet component allows arbitrary command execution via specially crafted gitRepo volumes.This issue affects kubelet: through 1.28.11, from 1.29.0 through 1.29.6, from 1.30.0 through 1.30.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
Kubernetes 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Kubernetes(K8s)是Kubernetes开源的一个开源系统,用于自动部署、扩展和管理容器化应用程序。 Kubernetes存在安全漏洞,该漏洞源于允许通过特制的 gitRepo 卷执行任意命令。以下版本受到影响:1.28.11版本及之前版本、1.29.0版本至1.29.6版本和1.30.0版本至1.30.2版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-10220 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2024-10220 Test repo https://github.com/mochizuki875/CVE-2024-10220-githooks POC详情
2 None https://github.com/any2sec/cve-2024-10220 POC详情
3 CVE-2024-10220 Test repo https://github.com/XiaomingX/cve-2024-10220-githooks POC详情
4 None https://github.com/filipzag/CVE-2024-10220 POC详情
5 CVE-2024-10220 POC https://github.com/candranapits/poc-CVE-2024-10220 POC详情
6 None https://github.com/orgC/CVE-2024-10220-demo POC详情
三、漏洞 CVE-2024-10220 的情报信息