Kubernetes
Уязвимости
68
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.86978
Распределение по критичности
Критический
2
Высокий
14
Средний
40
Низкий
12
Также сопоставлено как (исходные строки): kubernetes
Топ уязвимостей
CVE-2018-1002105Во всех версиях Kubernetes до v1.10.11, v1.11.5 и v1.12.3 неправильная обработка ответов об ошибках на проксированные запросы обновления в kube-apiserver позволяла специально созданным запросам установить соединение через сервер API Kubernetes с бэкенд-серверами, а затем отправлять произвольные запросы по тому же соединению непосредственно в бэкенд, аутентифицированные с помощью TLS-учетных данных сервера API Kubernetes, используемых для установления соединения с бэкендом.
CVE-2016-1906Openshift позволяет удаленным злоумышленникам получить привилегии, обновив конфигурацию сборки, созданную с разрешенным типом, до типа, который не разрешен.
CVE-2023-5528Проблема безопасности была обнаружена в Kubernetes, где пользователь, который может создавать поды и постоянные тома на узлах Windows, может быть в состоянии повысить свои привилегии до административных на этих узлах. Кластеры Kubernetes затрагиваются только в том случае, если они используют встроенный плагин хранения для узлов Windows.
CVE-2023-3955В Kubernetes была обнаружена проблема безопасности, при которой пользователь,
который может создавать поды на узлах Windows, может получить права администратора
на этих узлах. Кластеры Kubernetes затрагиваются только в том случае, если они
включают узлы Windows.
CVE-2023-3893В Kubernetes была обнаружена проблема безопасности, при которой пользователь, который может создавать поды на Windows-узлах, запущенных kubernetes-csi-proxy, может получить права администратора на этих узлах. Кластеры Kubernetes затрагиваются только в том случае, если в них есть Windows-узлы, работающие под управлением kubernetes-csi-proxy.
CVE-2023-3676В Kubernetes была обнаружена проблема безопасности, где пользователь, который может создавать поды на узлах Windows, может получить права администратора на этих узлах. Кластеры Kubernetes подвержены этой проблеме, только если они включают узлы Windows.
CVE-2022-3294Пользователи могут иметь доступ к защищенным конечным точкам в сети плоскости управления. Кластеры Kubernetes затрагиваются только в том случае, если ненадежный пользователь может изменять объекты Node и отправлять им прокси-запросы. Kubernetes поддерживает проксирование узлов, которое позволяет клиентам kube-apiserver получать доступ к конечным точкам Kubelet для установления соединений с Pods, получения журналов контейнеров и многого другого. Хотя Kubernetes уже проверяет адрес проксирования для Nodes, ошибка в kube-apiserver позволила обойти эту проверку. Обход этой проверки может позволить аутентифицированным запросам, предназначенным для Nodes, попасть в частную сеть API-сервера.
CVE-2021-25741В Kubernetes обнаружена проблема безопасности, из-за которой пользователь может создать контейнер с подключением томов подпути для доступа к файлам и каталогам за пределами тома, в том числе в файловой системе хоста.
CVE-2024-10220Компонент Kubernetes kubelet позволяет выполнять произвольные команды через специально созданные тома gitRepo. Эта проблема затрагивает kubelet: до 1.28.11, с 1.29.0 по 1.29.6, с 1.30.0 по 1.30.2.
CVE-2016-1905API-сервер в Kubernetes неправильно проверяет контроль допуска, что позволяет удаленным аутентифицированным пользователям получать доступ к дополнительным ресурсам через специально созданный исправленный объект.
CVE-2019-11253Неправильная проверка ввода в API-сервере Kubernetes в версиях v1.0-1.12 и версиях до v1.13.12, v1.14.8, v1.15.5 и v1.16.2 позволяет авторизованным пользователям отправлять вредоносные полезные нагрузки YAML или JSON, заставляя API-сервер потреблять чрезмерное количество ЦП или памяти, что может привести к сбою и недоступности. До v1.14.0 политика RBAC по умолчанию разрешала анонимным пользователям отправлять запросы, которые могли вызвать эту уязвимость. Кластеры, обновленные с версии до v1.14.0, сохраняют более разрешительную политику по умолчанию для обратной совместимости.
CVE-2017-1000056Kubernetes версий 1.5.0-1.5.4 уязвим для повышения привилегий в плагине допуска PodSecurityPolicy, что приводит к возможности использовать любой существующий объект PodSecurityPolicy.
CVE-2016-7075Обнаружено, что Kubernetes, используемый Openshift Enterprise 3, некорректно проверял поля имени хоста промежуточного сертификата клиента X.509. Злоумышленник может использовать этот недостаток для обхода требований аутентификации, используя специально созданный сертификат X.509.
CVE-2017-1002101В версиях Kubernetes 1.3.x, 1.4.x, 1.5.x, 1.6.x и до версий 1.7.14, 1.8.9 и 1.9.4 контейнеры, использующие монтирование подпути тома с любым типом тома (включая непривилегированные модули, в зависимости от разрешений файла), могут получить доступ к файлам/каталогам за пределами тома, включая файловую систему хоста.
CVE-2017-1002102В версиях Kubernetes 1.3.x, 1.4.x, 1.5.x, 1.6.x и до версий 1.7.14, 1.8.9 и 1.9.4 контейнеры, использующие секретный том, configMap, projected или downwardAPI, могут инициировать удаление произвольных файлов/каталогов с узлов, на которых они работают.
CVE-2018-1002101В версиях Kubernetes 1.9.0-1.9.9, 1.10.0-1.10.5 и 1.11.0-1.11.1 небезопасно обрабатывался ввод пользователя при настройке подключений томов на узлах Windows, что могло привести к инъекции аргументов командной строки.
CVE-2025-5187В контроллере допусков NodeRestriction существует уязвимость, позволяющая пользователям узлов удалять соответствующий объект узла путем изменения его с помощью OwnerReference к ресурсу, ограниченному кластером. Если ресурс OwnerReference не существует или впоследствии удаляется, данный объект узла будет удален через сборку мусора. По умолчанию пользователям узлов разрешены запросы на создание и изменение, но не на удаление их объекта узла. Поскольку контроллер допусков NodeRestriction не предотвращает изменение OwnerReferences, скомпрометированный узел может использовать эту уязвимость для удаления и последующего воссоздания своего объекта узла. Это позволит воссоздать объект узла с измененными taints или метками, которые обычно отклоняются этим плагином. Изменение taints или меток на узле может позволить злоумышленнику контролировать, какие поды выполняются на скомпрометированном узле. Уязвимыми являются все кластеры, в которых включен NodeRestriction, но не включен контроллер OwnerReferencesPermissionEnforcement. Контроллер OwnerReferencesPermissionEnforcement защищает доступ к OwnerReferences объекта, так что только пользователи с разрешением на удаление объекта могут его изменять. Эта проблема может быть устранена путем обновления до версии kube-apiserver с одним из исправленных минорных версий для версий 1.31-1.33. В качестве альтернативы, эта уязвимость может быть устранена путем включения контроллера допусков OwnerReferencesPermissionEnforcement, который предотвратит изменение OwnerReferences на объекте для пользователей без разрешений на удаление. Для обнаружения этой проблемы можно проанализировать журналы аудита API на предмет запросов на изменение узлов, выданных пользователями узлов, которые изменяют OwnerReferences. В нормальной работе Kubelet никогда не выдает запрос на изменение, который изменяет свои собственные OwnerReferences. Уязвимость была обнаружена Полем Виоссатом, исправлена и координирована Сергеем Канжелевым, Джорданом Лигггитом и Марко Мудриничем [1].
Источники:
- [1] https://github.com/kubernetes/kubernetes/issues/133471
- [2] https://groups.google.com/g/kubernetes-security-announce/c/znSNY7XCztE
CVE-2025-1767Эта уязвимость затрагивает только кластеры Kubernetes, которые используют встроенный том gitRepo для клонирования git-репозиториев из других подов в пределах одного узла. Поскольку функция встроенного тома gitRepo была устаревшей и не будет получать обновлений безопасности, любой кластер, который до сих пор использует эту функцию, остается уязвимым.
CVE-2023-2728Пользователи могут запустить контейнеры, которые обойдут политику монтируемых секретов, обеспечиваемую плагином принятия ServiceAccount, при использовании эфемерных контейнеров. Политика гарантирует, что поды, работающие с сервисной учетной записью, могут ссылаться только на секрета, указанные в поле секретов сервисной учетной записи. Кластеры Kubernetes затрагиваются только в том случае, если плагин принятия ServiceAccount и аннотация `kubernetes.io/enforce-mountable-secrets` используются вместе с эфемерными контейнерами.
CVE-2023-2727Пользователи могут иметь возможность запускать контейнеры, используя образы, ограниченные ImagePolicyWebhook при использовании эфемерных контейнеров. Кластеры Kubernetes затрагиваются только в том случае, если плагин пропуска изображения ImagePolicyWebhook используется вместе с эфемерными контейнерами.
CVE-2022-3162Пользователи, авторизованные для перечисления или наблюдения за одним типом пользовательского ресурса с пространством имен в масштабе кластера, могут читать пользовательские ресурсы другого типа в той же группе API без авторизации. Кластеры подвержены этой уязвимости, если выполняются все следующие условия: 1. Есть 2+ CustomResourceDefinitions, разделяющих одну и ту же группу API. 2. Пользователи имеют права на перечисление или наблюдение за одним из этих пользовательских ресурсов в масштабе кластера. 3. Те же пользователи не авторизованы для чтения другого пользовательского ресурса в той же группе API.
CVE-2021-25735В kube-apiserver обнаружена проблема безопасности, которая может позволить обновлениям узлов обходить Validating Admission Webhook. Эта уязвимость затрагивает кластеры только в том случае, если они запускают Validating Admission Webhook для узлов, который отклоняет прием на основе, по крайней мере, частично, старого состояния объекта узла. Validating Admission Webhook не учитывает некоторые предыдущие поля.
CVE-2019-9946Cloud Native Computing Foundation (CNCF) CNI (Container Networking Interface) 0.7.4 имеет неправильную конфигурацию сетевого брандмауэра, которая влияет на Kubernetes. Плагин CNI 'portmap', используемый для настройки HostPorts для CNI, вставляет правила в начало цепочек nat iptables; которые имеют приоритет над цепочкой KUBE-SERVICES. Из-за этого правило HostPort/portmap может соответствовать входящему трафику, даже если в цепочке позже были более подходящие, более конкретные правила определения службы, такие как NodePorts. Проблема исправлена в CNI 0.7.5 и Kubernetes 1.11.9, 1.12.7, 1.13.5 и 1.14.0.
CVE-2019-11254Компонент API Server Kubernetes в версиях 1.1-1.14 и версиях до 1.15.10, 1.16.7 и 1.17.3 позволяет авторизованному пользователю, который отправляет вредоносные полезные нагрузки YAML, заставлять kube-apiserver потреблять чрезмерное количество циклов ЦП во время синтаксического анализа YAML.
CVE-2019-11248Конечная точка отладки /debug/pprof предоставляется через неаутентифицированный порт Kubelet healthz. Конечная точка go pprof предоставляется через порт healthz Kubelet. Эта конечная точка отладки может потенциально раскрыть конфиденциальную информацию, такую как внутренние адреса памяти и конфигурация Kubelet, или для ограниченного отказа в обслуживании. Затронуты версии до 1.15.0, 1.14.4, 1.13.8 и 1.12.10. Проблема имеет среднюю степень серьезности, но не раскрывается конфигурацией по умолчанию.