Krytyczna luka w Fission do wersji 1.24.0 umożliwiająca manipulację specyfikacją podów
Fission przed 1.24.0 umożliwiał manipulację specyfikacją podów w Kubernetes. Zalecana szybka aktualizacja do wersji 1.24.0.
- CVSS
- 9.9 CRITICAL
- EPSS
- 19.19%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Fission, open-source'owy framework serverless dla Kubernetes, przed wersją 1.24.0 pozwalał na bezpośrednie dostarczanie specyfikacji podów przez użytkownika, co mogło prowadzić do nieautoryzowanych modyfikacji. Luka została załatana w wersji 1.24.0.
Wpływ biznesowy
Luka o krytycznym poziomie CVSS 9.9 może umożliwić atakującym manipulację konfiguracją podów w środowisku Kubernetes, co stwarza ryzyko uruchomienia nieautoryzowanych kontenerów i potencjalnego przejęcia kontroli nad infrastrukturą. Operatorzy korzystający z Fission powinni pilnie zweryfikować wersję i podjąć działania minimalizujące ryzyko.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Fission do wersji 1.24.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji, ograniczyć dostęp do funkcji umożliwiających podawanie specyfikacji podów przez użytkowników, monitorować logi pod kątem podejrzanych działań oraz przeprowadzić przegląd konfiguracji środowiska Kubernetes.