漏洞类型	路径遍历	发现时间	2024-02-15	漏洞等级	中危
MPS编号	MPS-2si9-mtja	CVE编号	CVE-2024-25620	漏洞影响广度	广

目录隐藏

2.1 OSCS 平台影响范围和处置方案

3 排查方式

漏洞危害

OSCS 描述

Helm 是一个用于管理 Charts 的工具。Charts 是预配置的 Kubernetes 资源的包。
Helm 客户端或 SDK 在保存 Chart 目录时未验证目录路径的合法性。攻击者可以将 Chart.yaml 文件中的 Chart 名称改为相对路径，Chart 将根据相对路径保存在其预期目录之外。
参考链接：https://www.oscs1024.com/hd/MPS-2si9-mtja

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
helm.sh/helm/v3 (-∞, 3.14.1)	升级	将 github.com/helm/helm 升级至 3.14.1 及以上版本
参考链接：https://www.oscs1024.com/hd/MPS-2si9-mtja

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2si9-mtja

https://nvd.nist.gov/vuln/detail/CVE-2024-25620

https://github.com/helm/helm/commit/0d0f91d1ce277b2c8766cdc4c7aa04dbafbf2503

https://github.com/helm/helm/security/advisories/GHSA-v53g-5gjp-272r

Helm < 3.14.1 路径遍历漏洞 (CVE-2024-25620)

漏洞危害

影响范围及处置方案

OSCS 平台影响范围和处置方案

排查方式

相关推荐

RocketMQ NameServer存在远程代码执行漏洞 （CVE-2023-37582）[有POC]

GeoServer 文件上传漏洞 (CVE-2023-51444)

契约锁电子签章系统 pdfverifier 远程代码执行漏洞

FE业务协作平台存在文件上传漏洞 (MPS-plcb-5td0)

Transformers RagRetriever 反序列化漏洞 (CVE-2023-6730)

RocketMQ NameServer存在远程代码执行漏洞（CVE-2023-37582）[有POC]