CVE-2023-44392 in Gardeninformazioni

Riassunto

di VulDB • 16/06/2026

Garden fornisce automazione per lo sviluppo e il testing di Kubernetes. Prima delle versioni 0.13.17 e 0.12.65, Garden dipende dalla libreria cryo, che è vulnerabile a code injection a causa di un'implementazione non sicura della deserializzazione. Garden memorizza oggetti serializzati utilizzando cryo nelle risorse `ConfigMap` di Kubernetes con prefisso `test-result` e `run-result`, per memorizzare nella cache i risultati dei test ed esecuzioni di Garden. Queste `ConfigMap` sono archiviate nello spazio dei nomi `garden-system` o nello spazio dei nomi configurato dall'utente. Quando un utente esegue il comando `garden test` o `garden run`, gli oggetti archiviati nella `ConfigMap` vengono recuperati e deserializzati. Un attaccante con accesso al cluster Kubernetes può sfruttare questa situazione per memorizzare oggetti malevoli nella `ConfigMap`, che possono innescare l'esecuzione di codice remoto (RCE) sulla macchina dell'utente quando cryo deserializza l'oggetto. Per sfruttare questa vulnerabilità, un attaccante deve avere accesso al cluster Kubernetes utilizzato per distribuire gli ambienti remoti di Garden. Inoltre, un utente deve invocare attivamente `garden test` o `garden run`, che ha precedentemente memorizzato nella cache i risultati. Il problema è stato risolto nelle versioni di Garden 0.13.17 (Bonsai) e 0.12.65 (Acorn). Solo le versioni precedenti a queste sono vulnerabili. Non sono disponibili workaround noti.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub, Inc.

Prenotare

28/09/2023

Divulgazione

25/10/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00685

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!