Helm < 3.14.1 路径遍历漏洞 (CVE-2024-25620)

漏洞类型 路径遍历 发现时间 2024-02-15 漏洞等级 中危
MPS编号 MPS-2si9-mtja CVE编号 CVE-2024-25620 漏洞影响广度 广

漏洞危害

OSCS 描述
Helm 是一个用于管理 Charts 的工具。Charts 是预配置的 Kubernetes 资源的包。
Helm 客户端或 SDK 在保存 Chart 目录时未验证目录路径的合法性。攻击者可以将 Chart.yaml 文件中的 Chart 名称改为相对路径,Chart 将根据相对路径保存在其预期目录之外。
参考链接:https://www.oscs1024.com/hd/MPS-2si9-mtja

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
helm.sh/helm/v3 (-∞, 3.14.1) 升级 将 github.com/helm/helm 升级至 3.14.1 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-2si9-mtja

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2si9-mtja

https://nvd.nist.gov/vuln/detail/CVE-2024-25620

https://github.com/helm/helm/commit/0d0f91d1ce277b2c8766cdc4c7aa04dbafbf2503

https://github.com/helm/helm/security/advisories/GHSA-v53g-5gjp-272r

(0)
上一篇 2024年2月12日 上午12:00
下一篇 2024年2月16日 下午12:00

相关推荐

  • XXL-JOB <2.4.0 XSS漏洞 (CVE-2023-48088)

    漏洞类型 XSS 发现时间 2023-11-15 漏洞等级 中危 MPS编号 MPS-hy21-w7s8 CVE编号 CVE-2023-48088 漏洞影响广度 一般 漏洞危害 OSCS 描述 XXL-JOB是一个基于java语言的分布式任务调度平台。XXL-JOB-Admin是该平台负责任务的创建、更新、删除和触发的管理组件。 由于在查询 /xxl-job…

    2023年11月16日
    0
  • Apache Submarine SQL 注入漏洞 (CVE-2023-37924)

    漏洞类型 SQL注入 发现时间 2023-11-22 漏洞等级 严重 MPS编号 MPS-ajf4-uzhd CVE编号 CVE-2023-37924 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Submarine是一个端到端的机器学习平台,允许数据科学家创建完整的机器学习工作流程,涵盖数据探索、数据管道创建、模型训练、服务以及监控的每个阶段。…

    2023年11月23日
    0
  • JumpServer 会话录像文件未授权访问漏洞 (CVE-2023-42442)

    漏洞类型 身份验证不当 发现时间 2023-09-18 漏洞等级 高危 MPS编号 MPS-ye5k-1v9i CVE编号 CVE-2023-42442 漏洞影响广度 广 漏洞危害 OSCS 描述 JumpServer 是一款开源的堡垒机。 在JumpServer受影响版本中,由于会话回放录像接口/api/v1/terminal/sessions/鉴权不当,…

    2023年9月18日
    0
  • angular-editor 存储型XSS

    漏洞类型 XSS 发现时间 2023/7/5 漏洞等级 中危 MPS编号 MPS-vg0h-iq7r CVE编号 – 漏洞影响广度 小 漏洞危害 OSCS 描述 angular-editor 是一款适用于 Angular 6-14+ 的简单原生 WYSIWYG/Rich Text 编辑器。在受影响版本中,攻击者通过点击「Insert URL Li…

    2023年8月30日
    0
  • XXL-RPC 任意代码执行操作 (CVE-2023-45146)

    漏洞类型 反序列化 发现时间 2023-10-18 漏洞等级 高危 MPS编号 MPS-lv03-dtjx CVE编号 CVE-2023-45146 漏洞影响广度 一般 漏洞危害 OSCS 描述 XXL-RPC是一个基于Netty和Hessian的分布式远程调用框架。Hessian是在Java应用程序中进行对象序列化和反序列化的二进制序列化协议。 XXL-P…

    2023年10月19日
    0