Три уязвимости Kubernetes позволяют выполнять удаленный код на серверах windows

В открытом ПО Kubernetes обнаружены три уязвимости, которые позволяют злоумышленникам выполнять удаленный код в Windows nodes и получать полный контроль над серверами. Все три уязвимости имеют высокий уровень угрозы.

Уязвимость CVE-2023-3676 представляет собой командную инъекцию. Ее эксплойт возможен при использовании файла формата YAML в кластере. О проблеме сообщил исследователь Томер Пелед из команды Akamai.

CVE-2023-3893 и CVE-2023-3955 также связаны с командными инъекциями и были обнаружены «по следам» первой уязвимости. Обе связаны с недостаточным входным контролем пользователей.

Уязвимости опасны для всех версий Kubernetes ниже v1.28. Для уязвимых версий ПО уже выпущено обновление. Администраторам рекомендуют не откладывать его установку.