Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-8554

Vulnerabilidad en la creación de un servicio ClusterIP y en el parche del estado de un servicio LoadBalancer en el servidor de la API de Kubernetes (CVE-2020-8554)

Tipo: 
No disponible / Otro tipo
Gravedad: 
Media
Fecha publicación : 
21/01/2021
Última modificación: 
03/02/2021
Descripción
El servidor de la API de Kubernetes en todas las versiones permite a un atacante que puede crear un servicio ClusterIP y establecer el campo spec.externalIPs, interceptar el tráfico a esa dirección IP. Adicionalmente, un atacante que sea capaz de parchear el estado (que se considera una operación privilegiada y no se debe típicamente otorgar a los usuarios) de un servicio LoadBalancer puede configurar el status.loadBalancer.ingress.ip con un efecto similar
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No disponible
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:kubernetes:kubernetes:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos