Yoke — это средство развертывания пакетов «инфраструктура как код» (IaC), основанное на Helm. В версии 0.19.0 и более ранних версиях существует уязвимость в компоненте авиадиспетчера (УВД) Yoke. Конечным точкам веб-перехватчика ATC не хватает надлежащих механизмов аутентификации, что позволяет любому поду в сети кластера напрямую отправлять запросы AdmissionReview на веб-перехватчик, минуя аутентификацию API-сервера Kubernetes.
Это позволяет злоумышленникам запускать выполнение модуля WASM в контексте контроллера ATC без надлежащей авторизации.
Показать оригинальное описание (EN)
Yoke is a Helm-inspired infrastructure-as-code (IaC) package deployer. In 0.19.0 and earlier, a vulnerability exists in the Air Traffic Controller (ATC) component of Yoke. The ATC webhook endpoints lack proper authentication mechanisms, allowing any pod within the cluster network to directly send AdmissionReview requests to the webhook, bypassing Kubernetes API Server authentication. This enables attackers to trigger WASM module execution in the ATC controller context without proper authorization.
Характеристики атаки
Последствия
Строка CVSS v3.1