CVE-2023-25165 in Helminfo

Zusammenfassung

von VulDB • 21.05.2026

Helm ist ein Tool, das die Installation und Verwaltung von Kubernetes-Anwendungen vereinfacht. `getHostByName` ist eine in Helm v3 eingeführte Helm-Template-Funktion. Die Funktion kann einen Hostnamen akzeptieren und eine IP-Adresse für diesen Hostnamen zurückgeben. Um die IP-Adresse zu ermitteln, führt die Funktion eine DNS-Suche (DNS-Lookup) durch. Die DNS-Suche wird ausgeführt, wenn die Funktion mit `helm install|upgrade|template` verwendet wird oder wenn die Helm SDK verwendet wird, um ein Chart zu rendern. In das Chart übergebene Informationen können an die DNS-Server offengelegt werden, die zur Ermittlung der IP-Adresse verwendet werden. Beispielsweise könnte ein bösartiges Chart `getHostByName` in ein Chart injizieren, um Werte an einen bösartigen DNS-Server offenzulegen. Das Problem wurde in Helm 3.11.1 behoben. Überprüfen Sie vor der Verwendung eines Charts mit Helm, ob die Funktion `getHostByName` in einem Template verwendet wird, um Informationen offenzulegen, die nicht an DNS-Server weitergegeben werden sollen.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub, Inc.

Reservieren

03.02.2023

Veröffentlichung

08.02.2023

Moderieren

akzeptiert

Eintrag

VDB-220456

CPE

bereit

EPSS

0.00762

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!