关键信息 漏洞描述 漏洞编号: CVE-2024-7557 公开日期: 2024年8月7日 最近修改日期: 2024年8月8日 严重性: 中等 描述: 在OpenShift AI中发现了一个漏洞,允许在同一个命名空间内的模型之间进行身份验证绕过和特权提升。当部署AI模型时,UI提供了保护模型的身份验证选项。然而,来自一个模型的凭证可以用于访问其他模型和APIs在相同的命名空间内。暴露的ServiceAccount令牌,可见在UI中,可以使用 命令来利用与ServiceAccount相关的提升视图权限,导致未经授权访问额外资源。 补充信息 Bugzilla: 2303094 CWE: 200, 284 FAQ: 关于CVE-2024-7557的常见问题 影响的包和Red Hat安全补丁 受影响的包: - Red Hat OpenShift AI (RHOAI) - Red Hat OpenShift Data Science (RHODS) 受影响的组件: - - - CVSS评分 CVSS v3 Base Score: 7.6 CVSS v3 Vector: 承认 感谢:感谢Adam Belluscio(RedHat)报告此问题。 常见问题 为什么Red Hat的CVSS v3评分或影响与其他供应商不同? 我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布此漏洞的修复? 如果我的产品被列为“不会修复”,我该怎么办? 什么是缓解措施? 我有Red Hat产品,但不在上述列表中,它是否受影响? 为什么我的安全扫描器报告我的产品受到此漏洞的影响,尽管我的产品版本已修复或不受影响? 版权和更新 最后修改日期: 2024年8月8日,UTC时间9:17:49 PM CVE描述版权: © 2021