近期，有第三方平臺的安全技術(shù)人員發(fā)現(xiàn)了在 KubeSphere 開源版 3.4.1 及 4.1.1 上存在不安全的直接對象引用（IDOR）的漏洞，該漏洞允許低權(quán)限的通過認證的攻擊者在沒有適當授權(quán)檢查的情況下訪問敏感資源。我們及時與對方進行了聯(lián)系，并幫助對方解決了此問題，CVE 漏洞的詳細信息及問題處理過程可以參考以下鏈接：

CVE-2024-46528：?https://nvd.nist.gov/vuln/detail/CVE-2024-46528

IDOR Vulnerability in KubeSphere：?https://okankurtulus.com.tr/2024/09/09/idor-vulnerability-in-kubesphere/

影響范圍

• KubeSphere 4.x 受影響版本: < 4.1.3
• KubeSphere 3.x 受影響版本: >= 3.0.0, <= 3.4.1
• KubeSphere Enterprise 4.x 受影響版本: < 4.1.3
• KubeSphere Enterprise 3.x 受影響版本: >= 3.0.0, <= 3.5.0

規(guī)避方案

移除 authenticated 平臺角色非必需的資源授權(quán)：

kubectl patch globalrole.iam.kubesphere.io authenticated --type merge -p '{"rules": [{"apiGroups":["monitoring.kubesphere.io","metering.kubesphere.io","monitoring.coreos.com"],"resources":["cluster"],"verbs":["list"]},{"apiGroups":["resources.kubesphere.io"],"resources":["clusters"],"verbs":["get","list"]}]}'

此變更加強了對普通用戶的權(quán)限約束，普通的項目成員在打開的頁面，如果要調(diào)用這些需要特權(quán) API 的時候會有 Forbidden 彈框。

未來的修復(fù)計劃

此漏洞風(fēng)險等級不高，您可以通過以上規(guī)避方案解決此問題，同時，我們也會在 KubeSphere 下一個正式版本 4.1.3 中修復(fù)此問題，預(yù)計發(fā)布時間為 2025 年 1 月份。

對安全的承諾

KubeSphere 持續(xù)致力于為企業(yè)客戶提供安全可靠的云原生全棧解決方案。我們重視用戶對我們平臺的信任，并努力確保我們的系統(tǒng)符合最高的安全和性能標準。同時，KubeSphere 社區(qū)對?Okan Kurtulu??對此問題的及時發(fā)現(xiàn)以及與我們的積極溝通表示極大的感謝。

更多信息

尋求有關(guān) CVE-2024-46528 及其解決方案的更多詳情的用戶可以聯(lián)系 KubeSphere 支持團隊，聯(lián)系方式為 [security@kubesphere.io]。