В открытом ПО Kubernetes обнаружены три уязвимости, которые позволяют злоумышленникам выполнять удаленный код в Windows nodes и получать полный контроль над серверами. Все три уязвимости имеют высокий уровень угрозы.
Уязвимость CVE-2023-3676 представляет собой командную инъекцию. Ее эксплойт возможен при использовании файла формата YAML в кластере. О проблеме сообщил исследователь Томер Пелед из команды Akamai.
CVE-2023-3893 и CVE-2023-3955 также связаны с командными инъекциями и были обнаружены «по следам» первой уязвимости. Обе связаны с недостаточным входным контролем пользователей.
Уязвимости опасны для всех версий Kubernetes ниже v1.28. Для уязвимых версий ПО уже выпущено обновление. Администраторам рекомендуют не откладывать его установку.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.