KubePi — это панель k8s. Функция аутентификации jwt KubePi до версии 1.6.2 использует жестко закодированные Jwtsigkeys, что приводит к одинаковым Jwtsigkeys для всех онлайн-проектов. Это означает, что злоумышленник может подделать любой токен jwt, чтобы захватить учетную запись администратора любого онлайн-проекта. Кроме того, они могут использовать администратора для захвата кластера k8s целевого предприятия. В session.go использование жестко закодированного JwtSigKey позволяет злоумышленнику использовать это значение для произвольной подделки токенов jwt. JwtSigKey является конфиденциальным и не должен быть жестко закодирован в коде. Уязвимость исправлена в версии 1.6.3. В патче ключ JWT указан в app.yml. Если пользователь оставит его пустым, будет использоваться случайный ключ. Нет никаких обходных путей, кроме обновления.