关键漏洞信息 漏洞概述 标题: Users can issue watch commands for arbitrary resources 发布日期: Nov 20, 2024 严重性: High (7.7/10) CVE ID: CVE-2024-52280 影响 描述: 在 Steve API (Kubernetes API Translator) 中发现了一个漏洞,允许用户监视他们无权访问的资源,前提是他们对该类型的资源具有一些通用权限。例如,一个可以在单个命名空间中获取单个密钥的用户可以获取所有命名空间中的所有密钥。 CVSS v3 基本指标: - 攻击向量: Network - 攻击复杂度: Low - 所需权限: Low - 用户交互: None - 范围: Changed - 机密性: High - 完整性: None - 可用性: None 影响版本与修复版本 受影响版本: - =2175e09 (main) - >=6e30359 (release/v2.9) - >=c744f0b (release/v2.8) 补丁 修复措施: 当发出带有指定ID的watch请求时,现在正确尊重请求者的权限。这将拒绝请求者无法实际访问的对象的事件。 弱点 CWE: CWE-200, CWE-287 工作区 建议: 用户应尽快升级到包含修复程序的Steve API/Rancher Manager版本。 参考资料 联系: SUSE Rancher Security team 问题: 在Rancher仓库中打开问题 验证: 支持矩阵和产品支持生命周期