一、 漏洞 CVE-2023-29018 基础信息
漏洞标题
OpenFeature 操作符存在集群级别权限提升漏洞
来源:AIGC 神龙大模型
漏洞描述信息
OpenFeature 操作符易受集群级别权限提升漏洞的影响
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
OpenFeature Operator vulnerable to Cluster-level Privilege Escalation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The OpenFeature Operator allows users to expose feature flags to applications. Assuming the pre-existence of a vulnerability that allows for arbitrary code execution, an attacker could leverage the lax permissions configured on `open-feature-operator-controller-manager` to escalate the privileges of any SA in the cluster. The increased privileges could be used to modify cluster state, leading to DoS, or read sensitive data, including secrets. Version 0.2.32 mitigates this issue by restricting the resources the `open-feature-operator-controller-manager` can modify.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
特权管理不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
OpenFeature Operator 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
OpenFeature Operator是OpenFeature的用于向应用程序公开功能标志的工具。 OpenFeature Operator 0.2.32之前版本存在安全漏洞,该漏洞源于open-feature-operator-controller-manager上配置的宽松权限可用于升级集群中任何服务帐户的特权。攻击者可利用该漏洞修改集群状态或读取敏感数据。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-29018 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-29018 的情报信息