CVE-2024-12582

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-12582
A flaw was found in the skupper console, a read-only interface that renders cluster network, traffic details, and metrics for a network application that a user sets up across a hybrid multi-cloud environment. When the default authentication method is used, a random password is generated for the "admin" user and is persisted in either a Kubernetes secret or a podman volume in a plaintext file. This authentication method can be manipulated by an attacker, leading to the reading of any user-readable file in the container filesystem, directly impacting data confidentiality. Additionally, the attacker may induce skupper to read extremely large files into memory, resulting in resource exhaustion and a denial of service attack.

7.1 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 4.2

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://access.redhat.com/errata/RHSA-2025:1413
https://access.redhat.com/security/cve/CVE-2024-12582
https://bugzilla.redhat.com/show_bug.cgi?id=2333540
Configurations

No configuration.

History

13 Feb 2025, 14:15

Type Values Removed Values Added
References
  • () https://access.redhat.com/errata/RHSA-2025:1413 -
Summary
  • (es) Se encontró una falla en la consola del clúster, una interfaz de solo lectura que muestra la red del clúster, detalles de tráfico y métricas para una aplicación de red que un usuario configura en un entorno híbrido de múltiples nubes. Cuando se utiliza el método de autenticación predeterminado, se genera una contraseña aleatoria para el usuario "admin" y se conserva en un secreto de Kubernetes o en un volumen podman en un archivo de texto plano. Este método de autenticación puede ser manipulado por un atacante, lo que lleva a la lectura de cualquier archivo legible por el usuario en el sistema de archivos contenedor, lo que afecta directamente la confidencialidad de los datos. Además, el atacante puede inducir a la recopilación a leer archivos extremadamente grandes en la memoria, lo que provoca el agotamiento de los recursos y un ataque de denegación de servicio.

24 Dec 2024, 04:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-12-24 04:15

Updated : 2025-02-13 14:15

NVD link : CVE-2024-12582

Mitre link : CVE-2024-12582

CVE.ORG link : CVE-2024-12582

JSON object : View

Products Affected

No product.

CWE
CWE-305

Authentication Bypass by Primary Weakness