一、 漏洞 CVE-2024-10220 基础信息
漏洞标题
Docker API任意命令执行漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Kubernetes kubelet 组件允许通过特制的 gitRepo 卷执行任意命令。此问题影响以下版本的 kubelet:1.28.11 及之前版本,1.29.0 至 1.29.6,1.30.0 至 1.30.2。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
在命令中使用的特殊元素转义处理不恰当(命令注入)
来源:AIGC 神龙大模型
漏洞标题
Arbitrary command execution through gitRepo volume
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Kubernetes kubelet component allows arbitrary command execution via specially crafted gitRepo volumes.This issue affects kubelet: through 1.28.11, from 1.29.0 through 1.29.6, from 1.30.0 through 1.30.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
Kubernetes 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Kubernetes(K8s)是Kubernetes开源的一个开源系统,用于自动部署、扩展和管理容器化应用程序。 Kubernetes存在安全漏洞,该漏洞源于允许通过特制的 gitRepo 卷执行任意命令。以下版本受到影响:1.28.11版本及之前版本、1.29.0版本至1.29.6版本和1.30.0版本至1.30.2版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-10220 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2024-10220 Test repo https://github.com/mochizuki875/CVE-2024-10220-githooks POC详情
2 None https://github.com/any2sec/cve-2024-10220 POC详情
3 CVE-2024-10220 Test repo https://github.com/XiaomingX/cve-2024-10220-githooks POC详情
4 None https://github.com/filipzag/CVE-2024-10220 POC详情
5 CVE-2024-10220 POC https://github.com/candranapits/poc-CVE-2024-10220 POC详情
三、漏洞 CVE-2024-10220 的情报信息