Bypass de seguretat a 1Panel-dev KubePi

ALERTES

29/07/2024

CVE-2024-36111

MITJÀ (6,3)

CVSS3: 5,5

L’1Panel-dev KubePi podria permetre a un atacant remot autenticat per evitar les restriccions de seguretat, causades per un defecte en la verificació del testimoni JWT. Mitjançant una clau buida per generar un testimoni JWT, un atacant podria explotar aquesta vulnerabilitat per evitar la verificació d’inici de sessió i fer-se càrrec directament del back-end.

Sistemes Afectats

  • 1Panel-dev KubePi 1.6.4
  • 1Panel-dev KubePi 1.6.3
  • ISC BIND 9.16.12
  • ISC BIND 9.16.8
  • ISC BIND 9.18.27
  • ISC BIND 9.19.0
  • ISC BIND 9.19.24
  • ISC BIND 9.18.1

Remediació
Actualitzeu a la darrera versió de KubePi (1.8.0 o posterior), disponible a KubePi GIT.  Vegeu-ne les Referències.