CVE-2023-44392 in Garden
Riassunto
di VulDB • 16/06/2026
Garden fornisce automazione per lo sviluppo e il testing di Kubernetes. Prima delle versioni 0.13.17 e 0.12.65, Garden dipende dalla libreria cryo, che è vulnerabile a code injection a causa di un'implementazione non sicura della deserializzazione. Garden memorizza oggetti serializzati utilizzando cryo nelle risorse `ConfigMap` di Kubernetes con prefisso `test-result` e `run-result`, per memorizzare nella cache i risultati dei test ed esecuzioni di Garden. Queste `ConfigMap` sono archiviate nello spazio dei nomi `garden-system` o nello spazio dei nomi configurato dall'utente. Quando un utente esegue il comando `garden test` o `garden run`, gli oggetti archiviati nella `ConfigMap` vengono recuperati e deserializzati. Un attaccante con accesso al cluster Kubernetes può sfruttare questa situazione per memorizzare oggetti malevoli nella `ConfigMap`, che possono innescare l'esecuzione di codice remoto (RCE) sulla macchina dell'utente quando cryo deserializza l'oggetto. Per sfruttare questa vulnerabilità, un attaccante deve avere accesso al cluster Kubernetes utilizzato per distribuire gli ambienti remoti di Garden. Inoltre, un utente deve invocare attivamente `garden test` o `garden run`, che ha precedentemente memorizzato nella cache i risultati. Il problema è stato risolto nelle versioni di Garden 0.13.17 (Bonsai) e 0.12.65 (Acorn). Solo le versioni precedenti a queste sono vulnerabili. Non sono disponibili workaround noti.
VulDB is the best source for vulnerability data and more expert information about this specific topic.