1. 墨知首页
  2. 漏洞

Helm < 3.14.1 路径遍历漏洞 (CVE-2024-25620)

漏洞
漏洞类型 路径遍历 发现时间 2024-02-15 漏洞等级 中危
MPS编号 MPS-2si9-mtja CVE编号 CVE-2024-25620 漏洞影响广度 广
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Helm 是一个用于管理 Charts 的工具。Charts 是预配置的 Kubernetes 资源的包。
Helm 客户端或 SDK 在保存 Chart 目录时未验证目录路径的合法性。攻击者可以将 Chart.yaml 文件中的 Chart 名称改为相对路径,Chart 将根据相对路径保存在其预期目录之外。
参考链接:https://www.oscs1024.com/hd/MPS-2si9-mtja

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
helm.sh/helm/v3 (-∞, 3.14.1) 升级 将 github.com/helm/helm 升级至 3.14.1 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-2si9-mtja

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2si9-mtja

https://nvd.nist.gov/vuln/detail/CVE-2024-25620

https://github.com/helm/helm/commit/0d0f91d1ce277b2c8766cdc4c7aa04dbafbf2503

https://github.com/helm/helm/security/advisories/GHSA-v53g-5gjp-272r

(0)
上一篇 2024年2月12日 上午12:00
下一篇 2024年2月16日 下午12:00

相关推荐

  • 用友U9Cloud存在任意文件读取漏洞 漏洞

    用友U9Cloud存在任意文件读取漏洞

    【高危】用友U9Cloud存在任意文件读取漏洞 漏洞描述 用友U9Cloud是一款企业级ERP,用于协助企业实现业务协同和流程管理的高效化和数字化。在/print/DynamaticExport.aspx接口的filePath参数存在任意文件读取,攻击者可借助漏洞读取目标机器任意文件。 MPS编号 MPS-72yk-6410 CVE编号 – 处置…

    2025年7月9日
    0
  • NPM组件 @frontend-clients/wallet-web 等窃取主机敏感信息 漏洞

    NPM组件 @frontend-clients/wallet-web 等窃取主机敏感信息

    【高危】NPM组件 @frontend-clients/wallet-web 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @frontend-clients/wallet-web 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-8bk3-iyfg 处置建议 强烈建议修复 发现…

    2025年7月11日
    0
  • JeecgBoot<3.5.3 存在 sql 注入漏洞 (CVE-2023-38992) [有POC] 漏洞

    JeecgBoot<3.5.3 存在 sql 注入漏洞 (CVE-2023-38992) [有POC]

    漏洞类型 SQL 注入 发现时间 2023/7/29 漏洞等级 高危 MPS编号 MPS-f2j4-cs6r CVE编号 CVE-2023-38992 漏洞影响广度 广 漏洞危害 OSCS 描述 JeecgBoot 是一款开源的的低代码开发平台。受影响版本中,由于 SysDictController#loadTreeData 未对用户传入的 sql 字符进行…

    2023年8月11日
    0
  • Apache inlong JDBC URL反序列化漏洞(\t绕过) (CVE-2023-46227) 漏洞

    Apache inlong JDBC URL反序列化漏洞(\t绕过) (CVE-2023-46227)

    漏洞类型 输入验证不恰当 发现时间 2023-10-19 漏洞等级 高危 MPS编号 MPS-xsb3-r8jf CVE编号 CVE-2023-46227 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache InLong 是开源的高性能数据集成框架,方便业务构建基于流式的数据分析、建模和应用。 受影响版本中,由于只对用户输入的 jdbc url 参数…

    2023年10月20日
    0
  • 【POC已公开】Oracle WebLogic Server 存在JNDI注入漏洞 (CVE-2024-20931) 漏洞

    【POC已公开】Oracle WebLogic Server 存在JNDI注入漏洞 (CVE-2024-20931)

    漏洞类型 注入 发现时间 2024-02-06 漏洞等级 高危 MPS编号 MPS-epi6-f7cb CVE编号 CVE-2024-20931 漏洞影响广度 一般 漏洞危害 OSCS 描述 Oracle WebLogic Server是一个用于构建、部署和管理企业级Java应用程序。AQjmsInitialContextFactory 是一个允许应用程序使…

    2024年2月7日
    0