Helm — менеджер пакетов Charts для Kubernetes. В версиях Helm <=3.20.1 и <=4.1.3 специально созданная диаграмма будет вызывать нажатие руля --untar [URL диаграммы | repo/chartname] для записи содержимого диаграммы в непосредственный выходной каталог (по умолчанию это текущий рабочий каталог; или как задано флагами --destination и --untardir), а не в ожидаемый выходной каталог, суффиксом которого является имя диаграммы. Эта уязвимость исправлена в версиях 3.20.2 и 4.1.4.
Показать оригинальное описание (EN)
Helm is a package manager for Charts for Kubernetes. In Helm versions <=3.20.1 and <=4.1.3, a specially crafted Chart will cause helm pull --untar [chart URL | repo/chartname] to write the Chart's contents to the immediate output directory (as defaulted to the current working directory; or as given by the --destination and --untardir flags), rather than the expected output directory suffixed by the chart's name. This vulnerability is fixed in 3.20.2 and 4.1.4.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Helm Helm
cpe:2.3:a:helm:helm:*:*:*:*:*:*:*:*
|
— |
3.20.2
|
|
Helm Helm
cpe:2.3:a:helm:helm:*:*:*:*:*:*:*:*
|
4.0.0
|
4.1.4
|