CVE-2023-35165 in aws-eks
Tóm tắt
Bởi VulDB • 13/07/2026
AWS Cloud Development Kit (AWS CDK) là một khung phát triển phần mềm mã nguồn mở để xác định cơ sở hạ tầng đám mây bằng code và cung cấp nó thông qua AWS CloudFormation. Trong các gói `aws-cdk-lib` từ phiên bản 2.0.0 đến 2.80.0 và `@aws-cdk/aws-eks` từ phiên bản 1.57.0 đến 1.202.0, các construct `eks.Cluster` và `eks.FargateCluster` tạo ra hai vai trò (roles), đó là `CreationRole` và `default MastersRole`, có chính sách tin cậy quá mức cho phép. Vai trò đầu tiên, được gọi là `CreationRole`, được sử dụng bởi các lambda handlers để tạo cụm cluster và triển khai các tài nguyên Kubernetes (ví dụ: `KubernetesManifest`, `HelmChart`, ...) lên đó. Người dùng có phiên bản CDK cao hơn hoặc bằng 1.62.0 (bao gồm cả người dùng v2) có thể bị ảnh hưởng. Vai trò thứ hai, được gọi là `default MastersRole`, chỉ được cung cấp nếu thuộc tính `mastersRole` không được cung cấp và có quyền thực thi các lệnh `kubectl` trên cụm cluster. Người dùng có phiên bản CDK cao hơn hoặc bằng 1.57.0 (bao gồm cả người dùng v2) có thể bị ảnh hưởng. Vấn đề này đã được sửa chữa trong `@aws-cdk/aws-eks` v1.202.0 và `aws-cdk-lib` v2.80.0. Các phiên bản này không còn sử dụng principal gốc của tài khoản (account root principal). Thay vào đó, chúng hạn chế chính sách tin cậy đối với các vai trò cụ thể của lambda handlers cần quyền truy cập đó. Không có giải pháp tạm thời nào khả dụng cho CreationRole. Để tránh tạo `default MastersRole`, hãy sử dụng thuộc tính `mastersRole` để cung cấp rõ ràng một vai trò.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.