漏洞类型	输入验证不恰当	发现时间	2023-11-15	漏洞等级	高危
MPS编号	MPS-wtbu-j6l2	CVE编号	CVE-2023-5528	漏洞影响广度	小

目录隐藏

2.1 OSCS 平台影响范围和处置方案

3 排查方式

漏洞危害

OSCS 描述

Kubernetes是一个用于自动部署、扩展和管理容器化应用程序的平台。kubelet是Kubernetes用于运行节点上容器的代理组件（node agent）。
使用yaml在Windows node上创建pod和挂载目录时，Kubelet会使用内置(in-tree)存储插件，如azure的插件会获取volumes.azureDisk.diskURI传入的MountSensitive的source参数，并将参数拼接至mklink命令语句中，并在 cmd 中使用管理员权限执行语句，造成在宿主机 node 上以管理员权限执行任意命令。kubernetes支持包括iscsi/nfs/azure/aws/等20+种存储插件。
该漏洞在新版本中已得到修复，处理输入时 Kubernetes 改用符号链接（symbolic link）链接路径，避免命令拼接导致的命令注入和权限提升。当Kubernetes集群使用Windows nodes的内置(in-tree)存储插件挂载目录时，才会受到影响。
参考链接：https://www.oscs1024.com/hd/MPS-wtbu-j6l2

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
kubernetes [1.8.0, 1.28.4)	升级	将组件 kubernetes 升级至 1.28.4 及以上版本
github.com/kubernetes/kubernetes [1.8.0, 1.27.8)	升级	将组件 github.com/kubernetes/kubernetes 升级至 1.27.8 及以上版本
kubernetes [1.8.0, 1.27.8)	升级	将组件 kubernetes 升级至 1.27.8 及以上版本
github.com/kubernetes/kubernetes [1.8.0, 1.28.4)	升级	将组件 github.com/kubernetes/kubernetes 升级至 1.28.4 及以上版本
kubernetes [1.8.0, 1.26.11)	升级	将组件 kubernetes 升级至 1.26.11 及以上版本
kubernetes [1.8.0, 1.25.16)	更新	将kubernetes 升级至1.25.16、1.26.11、v1.27.8、v1.28.4或更高版本
github.com/kubernetes/kubernetes [1.8.0, 1.26.11)	升级	将组件 github.com/kubernetes/kubernetes 升级至 1.26.11 及以上版本
github.com/kubernetes/kubernetes [1.8.0, 1.25.16)	升级	将组件 github.com/kubernetes/kubernetes 升级至 1.25.16 及以上版本
参考链接：https://www.oscs1024.com/hd/MPS-wtbu-j6l2