CVE-2024-7387

A flaw was found in openshift/builder. This vulnerability allows command injection via path traversal, where a malicious user can execute arbitrary commands on the OpenShift node running the builder container. When using the “Docker” strategy, executable files inside the privileged build container can be overridden using the `spec.source.secrets.secret.destinationDir` attribute of the `BuildConfig` definition. An attacker running code in a privileged container could escalate their permissions on the node running the container.
Configurations

No configuration.

History

03 Oct 2024, 21:15

Type Values Removed Values Added
References
  • () https://stuxxn.github.io/advisory/2024/10/02/openshift-build-docker-priv-esc.html -

19 Sep 2024, 20:15

Type Values Removed Values Added
References
  • () https://access.redhat.com/errata/RHSA-2024:6705 -

19 Sep 2024, 14:15

Type Values Removed Values Added
References
  • () https://access.redhat.com/errata/RHSA-2024:6685 -

19 Sep 2024, 08:15

Type Values Removed Values Added
References
  • () https://access.redhat.com/errata/RHSA-2024:6687 -
  • () https://access.redhat.com/errata/RHSA-2024:6689 -

19 Sep 2024, 02:15

Type Values Removed Values Added
Summary
  • (es) Se encontró una falla en openshift/builder. Esta vulnerabilidad permite la inyección de comandos a través de un path traversal, donde un usuario malintencionado puede ejecutar comandos arbitrarios en el nodo OpenShift que ejecuta el contenedor de compilación. Al utilizar la estrategia “Docker”, los archivos ejecutables dentro del contenedor de compilación privilegiado se pueden anular utilizando el atributo `spec.source.secrets.secret.destinationDir` de la definición `BuildConfig`. Un atacante que ejecute código en un contenedor privilegiado podría aumentar sus permisos en el nodo que ejecuta el contenedor.
References
  • () https://access.redhat.com/errata/RHSA-2024:6691 -

17 Sep 2024, 00:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-17 00:15

Updated : 2024-10-03 21:15


NVD link : CVE-2024-7387

Mitre link : CVE-2024-7387

CVE.ORG link : CVE-2024-7387


JSON object : View

Products Affected

No product.

CWE
CWE-250

Execution with Unnecessary Privileges