W frameworku Fission (serverless na Kubernetes) w wersjach przed 1.24.0 brak walidacji pól podSpec pozwalał na propagację niebezpiecznych konfiguracji do generowanych podów. Podatność umożliwia atakującemu z podstawowymi uprawnieniami przejęcie kontroli nad środowiskiem kontenerowym i eskalację uprawnień w klastrze Kubernetes.
▸ Pokaż oryginał (EN)
Fission is an open-source, Kubernetes-native serverless framework that simplifies the deployment of functions and applications on Kubernetes. Prior to version 1.24.0, the Environment.spec.runtime.podSpec / spec.builder.podSpec passthrough lacked validation, and MergePodSpec propagated dangerous fields into the generated pods. This issue has been patched in version 1.24.0.
Pola Environment.spec.runtime.podSpec oraz spec.builder.podSpec były przekazywane do generowanych podów bez żadnej walidacji. Funkcja MergePodSpec propagowała niebezpieczne wartości konfiguracyjne bezpośrednio do specyfikacji tworzonych podów. Atakujący z uprawnieniami do tworzenia lub modyfikowania obiektów Environment w Fission mógł wstrzyknąć złośliwe parametry podSpec — np. montowanie wrażliwych ścieżek hosta, ustawienia uprzywilejowanych kontenerów czy nadpisywanie kontekstu bezpieczeństwa — które następnie były automatycznie stosowane w uruchamianych podach.
Atakujący może uzyskać podwyższone uprawnienia w obrębie klastra Kubernetes, potencjalnie prowadząc do przejęcia węzłów, dostępu do wrażliwych zasobów klastra oraz naruszenia poufności, integralności i dostępności całego środowiska.
Należy zaktualizować Fission do wersji 1.24.0, w której wprowadzono walidację pól podSpec oraz ograniczono propagację niebezpiecznych konfiguracji przez MergePodSpec. Szczegóły dostępne w wydaniu v1.24.0 oraz pull requestach #3390 i #3391 w repozytorium projektu.
Fission (open-source serverless framework dla Kubernetes) w wersjach przed 1.24.0
Podatność zgłoszona i załatana w ramach procesu odpowiedzialnego ujawnienia — advisory opublikowane w GitHub Security Advisories projektu Fission (GHSA-wmgg-3p4h-48x7).
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H