KubePi 存在硬编码导致JWT伪造漏洞

漏洞描述

KubePi 是一个现代化的 K8s 面板。管理员可以使用KubePi 导入多个 Kubernetes 集群，并且通过权限控制，将不同 cluster、namespace 的权限分配给指定用户。开发人员可以通过使用KubePi 管理 Kubernetes 集群中运行的应用程序并对其进行故障排查，以便更好地处理 Kubernetes 集群中的复杂的工作。

该项目受影响版本存在硬编码导致JWT伪造漏洞，由于jwt 认证功能中session.go使用硬编码的 jwtsigkeys，导致所有在线项目使用相同的 Jwtsigkeys。远程攻击者可以伪造任何 jwt 令牌来接管任何在线项目的管理员帐户，甚至接管企业的 k8s 集群。

漏洞名称	KubePi 存在硬编码导致JWT伪造漏洞
漏洞类型	使用硬编码的凭证
发现时间	2023-01-05
漏洞影响广度	一般
MPS编号	MPS-2022-69792
CVE编号	CVE-2023-22463
CNVD编号	-

影响范围

KubePi@(-∞, 1.6.3)

修复方案

升级KubePi到1.6.3或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-69792

https://github.com/KubeOperator/KubePi/blob/da784f5532ea2495b92708cacb32703bff3a45a3/internal/api/v1/session/session.go#L35

https://github.com/KubeOperator/KubePi/commit/3be58b8df5bc05d2343c30371dd5fcf6a9fbbf8b

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc