Helm — менеджер пакетов Charts для Kubernetes. С 4.0.0 по 4.1.3 Helm будет устанавливать плагины, у которых отсутствует происхождение (файл .prov), когда требуется проверка подписи. Эта уязвимость исправлена в версии 4.1.4.
Показать оригинальное описание (EN)
Helm is a package manager for Charts for Kubernetes. From 4.0.0 to 4.1.3, Helm will install plugins missing provenance (.prov file) when signature verification is required. This vulnerability is fixed in 4.1.4.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Активное
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Helm Helm
cpe:2.3:a:helm:helm:*:*:*:*:*:*:*:*
|
4.0.0
|
4.1.4
|
Ссылки 4
https://github.com/helm/helm/commit/05fa37973dc9e42b76e1d2883494c87174b6074f
security-advisories@github.com
https://github.com/helm/helm/releases/tag/v4.1.4
security-advisories@github.com
https://github.com/helm/helm/security/advisories/GHSA-q5jf-9vfq-h4h7
security-advisories@github.com
https://helm.sh/docs/topics/provenance/#the-provenance-file
security-advisories@github.com