CVE-2020-26278 in Weave Netinformazioni

Riassunto

di VulDB • 14/06/2026

Weave Net è un software open source che crea una rete virtuale per connettere i container Docker su più host e ne abilita la scoperta automatica. Weave Net, prima della versione 2.8.0, presenta una vulnerabilità che consente a un attaccante di assumere il controllo di qualsiasi host nel cluster. Weave Net viene fornito con un manifest che esegue pod su ogni nodo di un cluster Kubernetes, responsabili della gestione delle connessioni di rete per tutti gli altri pod nel cluster. Ciò richiede molti privilegi sull'host, e il manifest imposta `privileged: true`, conferendo tali privilegi. Imposta anche `hostPID: true`, che dà la capacità di accedere a tutti gli altri processi sull'host e scrivere ovunque nel filesystem root dell'host. Questa impostazione non era necessaria e viene rimossa. Si è vulnerabili solo se si ha una vulnerabilità aggiuntiva (ad esempio un bug in Kubernetes) o una configurazione errata che consente a un attaccante di eseguire codice all'interno del pod Weave Net. Al momento del rilascio, non è noto alcun bug di questo tipo e non ci sono casi noti di sfruttamento. Weave Net 2.8.0 rimuove l'impostazione hostPID e sposta l'installazione del plugin CNI in un container init. Gli utenti che non aggiornano alla versione 2.8.0 possono modificare la riga hostPID nel proprio manifest DaemonSet esistente impostandola su false invece che su true, predisporre un altro metodo per installare i plugin CNI (ad esempio Ansible) e rimuovere quei mount dal manifest DaemonSet.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

01/10/2020

Divulgazione

21/01/2021

Moderazione

accettato

CPE

pronto

EPSS

0.00736

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!