漏洞标题
Calico CNI安装二进制文件中的权限提升
漏洞描述信息
在Calico(版本v3.27.2及更低版本)、Calico Enterprise(版本v3.19.0-1、v3.18.1、v3.17.3及更低版本)和Calico Cloud(版本v19.2.0及更低版本)的易受攻击版本中,攻击者如果对Kubernetes节点具有本地访问权限,就可以通过利用Calico CNI安装二进制文件中的漏洞提升其权限。问题出在二进制文件的SUID(设置用户ID)位配置不正确,且攻击者能够控制输入二进制文件,从而允许攻击者以提升的权限执行任意二进制文件。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
漏洞标题
Privilege escalation in Calico CNI install binary
漏洞描述信息
In vulnerable versions of Calico (v3.27.2 and below), Calico Enterprise (v3.19.0-1, v3.18.1, v3.17.3 and below), and Calico Cloud (v19.2.0 and below), an attacker who has local access to the Kubernetes node, can escalate their privileges by exploiting a vulnerability in the Calico CNI install binary. The issue arises from an incorrect SUID (Set User ID) bit configuration in the binary, combined with the ability to control the input binary, allowing an attacker to execute an arbitrary binary with elevated privileges.
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
漏洞类别
特权管理不恰当
漏洞标题
Calico 安全漏洞
漏洞描述信息
Tigera Calico是美国Tigera公司的一套针对容器、虚拟机和主机工作负载的开源网络安全解决方案。 Calico、Calico Enterprise、Calico Cloud存在安全漏洞。攻击者利用该漏洞通过提升的权限执行任意二进制文件。以下产品及版本受到影响:Calico v3.27.2版本及之前版本、Calico Enterprise v3.19.0-1版本、v3.18.1版本、v3.17.3版本及之前版本、Calico Cloud v19.2.0版本及之前版本。
CVSS信息
N/A
漏洞类别
其他