Weave GitOps 存在访问控制不当漏洞
漏洞描述
Weave GitOps 是对 Flux 的扩展,提供对应用程序的部署和监控以及提高 GitOps 持续交付的便捷性。
Weave GitOps 的本地 S3 存储桶用于同步应用于 Kubernetes 集群的文件,由于受影响版本中的 S3 存储桶端点没有阻止未经授权访问,未经过 S3 存储桶或目标 Kubernetes 集群身份验证的本地攻击者可查看和更改 S3 存储桶中的内容,进而将恶意负载通过 S3 存储桶注入到目标 Kubernetes 集群中并远程部署。
| 漏洞名称 | Weave GitOps 存在访问控制不当漏洞 |
|---|---|
| 漏洞类型 | - |
| 发现时间 | 2023-01-10 |
| 漏洞影响广度 | 极小 |
| MPS编号 | MPS-2022-1935 |
| CVE编号 | CVE-2022-23508 |
| CNVD编号 | - |
影响范围
github.com/weaveworks/weave-gitops@[0.0.1, 0.12.0)
修复方案
升级github.com/weaveworks/weave-gitops到 0.12.0 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-1935
https://nvd.nist.gov/vuln/detail/CVE-2022-23508
https://github.com/weaveworks/weave-gitops/security/advisories/GHSA-wr3c-g326-486c
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Apache APISIX Ingress 1.6 正式发布!
距离上一个版本 v1.5 发布,已经过了 3 个月,我们很高兴地宣布 Apache APISIX Ingress v1.6 正式发布! 在该版本中,共有 29 位贡献者 参与代码提交,其中 17 位是新晋贡献者 ,感谢大家的支持和参与! 本次发布的 Apache APISIX Ingress v1.6 版本带来了众多新特性,主要集中在对 Gateway API 的支持,同时也在扩展 APISIX Ingress 的使用场景和易用性方面的提升。以下是一些重点特性的介绍。 扩展对 Gateway API 的支持 Gateway API 是 Kubernetes 中下一代的 Ingress 规范,致力于提供富有表现力,可扩展和面向角色的接口来发展 Kubernetes 的网络,各个 Ingress controller 项目都在积极推进对该规范的支持。Apache APISIX Ingress 项目自 2021 年开始就在积极地紧跟上游社区的发展,并积极推进 Gateway API 在 APISIX Ingress 项目中的实现。 当前,Apache APISIX Ingress 项目中通过...
- 下一篇
Mercurius <11.5.0 存在未捕获异常漏洞
漏洞描述 Mercurius 是 Fastify Web 框架的 GraphQL 适配器。 11.5.0 之前版本的 Mercurius 开启“订阅”功能时,任何 Mercurius 用户都可以通过 WebSocket 向 /graphql 端点(如:ws://127.0.0.1:1337/graphql)发送格式错误的数据包,从而造成 Mercurius 拒绝服务。 Mercurius 用户可禁用订阅功能缓解此漏洞。 漏洞名称 Mercurius <11.5.0 存在未捕获异常漏洞 漏洞类型 未捕获的异常 发现时间 2023-01-10 漏洞影响广度 一般 MPS编号 MPS-2022-70041 CVE编号 CVE-2023-22477 CNVD编号 - 影响范围 mercurius@[0.0.1, 11.5.0) 修复方案 升级mercurius到 11.5.0 或更高版本 参考链接 https://www.oscs1024.com/hd/MPS-2022-70041 https://github.com/mercurius-js/mercurius/security/ad...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8编译安装MySQL8.0.19
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS7设置SWAP分区,小内存服务器的救世主
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- Hadoop3单机部署,实现最简伪集群
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
微信收款码
支付宝收款码