官方 CVE Feed

功能状态: Kubernetes v1.27 [beta]

这是一个由 Kubernetes 安全响应委员会发布的官方 CVE 列表,由社区维护。有关更多详细信息,请参阅Kubernetes 安全和披露信息

Kubernetes 项目以编程方式发布了已发布安全问题的 feed,格式为 JSON feedRSS feed。您可以通过执行以下命令来访问它

JSON 格式链接

curl -Lv https://k8s.io/docs/reference/issues-security/official-cve-feed/index.json

RSS 格式链接

curl -Lv https://k8s.io/docs/reference/issues-security/official-cve-feed/feed.xml
官方 Kubernetes CVE 列表(上次更新时间:2024 年 12 月 13 日 13:49:20 UTC)
CVE ID问题摘要CVE GitHub 问题 URL
CVE-2024-10220通过 gitRepo 卷执行任意命令#128885
CVE-2024-9594使用 Image Builder 构建的 VM 镜像在构建过程中使用一些提供商的默认凭据#128007
CVE-2024-9486使用 Image Builder 和 Proxmox 提供商构建的 VM 镜像使用默认凭据#128006
CVE-2024-7646Ingress-nginx 注释验证绕过#126744
CVE-2024-5321Windows 容器日志的权限不正确#126161
CVE-2024-3744azure-file-csi-driver 在日志中泄露服务帐户令牌#124759
CVE-2024-3177绕过 ServiceAccount 准入插件施加的可挂载 secrets 策略#124336
CVE-2023-5528内置存储插件中的输入清理不足导致 Windows 节点上的权限提升#121879
CVE-2023-5044通过 nginx.ingress.kubernetes.io/permanent-redirect 注释进行代码注入#126817
CVE-2023-5043Ingress nginx 注释注入导致任意命令执行#126816
CVE-2022-4886ingress-nginx 路径清理可以被绕过#126815
CVE-2023-3955Windows 节点上的输入清理不足导致权限提升#119595
CVE-2023-3893kubernetes-csi-proxy 上的输入清理不足导致权限提升#119594
CVE-2023-3676Windows 节点上的输入清理不足导致权限提升#119339
CVE-2023-2431绕过 seccomp 配置文件强制执行#118690
CVE-2023-2728绕过 ImagePolicyWebhook 施加的策略和绕过 ServiceAccount 准入插件施加的可挂载 secrets 策略#118640
CVE-2023-2727绕过 ImagePolicyWebhook 施加的策略和绕过 ServiceAccount 准入插件施加的可挂载 secrets 策略#118640
CVE-2023-2878secrets-store-csi-driver 在日志中泄露服务帐户令牌#118419
CVE-2022-3294代理时并非总是验证节点地址#113757
CVE-2022-3162未经授权读取自定义资源#113756
CVE-2022-3172聚合 API 服务器可能导致客户端被重定向 (SSRF)#112513
CVE-2021-25749Windows 容器的 `runAsNonRoot` 逻辑绕过#112192
CVE-2021-25748Ingress-nginx `path` 清理可以使用换行符绕过#126814
CVE-2021-25746通过注释进行 Ingress-nginx 指令注入#126813
CVE-2021-25745Ingress-nginx `path` 可以指向服务帐户令牌文件#126812
CVE-2021-25742Ingress-nginx 自定义代码段允许检索所有命名空间中的 ingress-nginx 服务帐户令牌和 secrets#126811
CVE-2021-25741符号链接交换可能允许主机文件系统访问#104980
CVE-2021-25737EndpointSlice 验证中的漏洞导致主机网络劫持#102106
CVE-2021-3121进程在收到恶意 protobuf 消息时可能会崩溃#101435
CVE-2021-25735验证准入 Webhook 不会观察到一些以前的字段#100096
CVE-2020-8554使用 LoadBalancer 或 ExternalIPs 的中间人攻击#97076
CVE-2020-8566当日志级别 >= 4 时,Ceph RBD adminSecrets 在日志中暴露#95624
CVE-2020-8565CVE-2019-11250 的不完整修复导致日志级别 >= 9 时令牌泄漏#95623
CVE-2020-8564当文件格式错误且日志级别 >= 4 时,Docker 配置 secrets 泄漏#95622
CVE-2020-8563使用 vSphere 提供商时,kube-controller-manager 中的 Secret 泄漏#95621
CVE-2020-8557通过写入容器 /etc/hosts 导致节点磁盘 DOS#93032
CVE-2020-8559从受损节点到集群的权限提升#92914
CVE-2020-8558节点设置允许邻近主机绕过 localhost 边界#92315
CVE-2020-8555kube-controller-manager 中的半盲 SSRF#91542
CVE-2020-10749仅 IPv4 集群容易受到通过 IPv6 恶意路由器通告进行的 MitM 攻击#91507
CVE-2019-11254恶意 YAML 有效负载导致的 kube-apiserver 拒绝服务漏洞#89535
CVE-2020-8552apiserver DoS (oom)#89378
CVE-2020-8551通过 API 进行 Kubelet DoS#89377
CVE-2020-8553ingress-nginx auth-type basic 注释漏洞#126818
CVE-2019-11251kubectl cp 符号链接漏洞#87773
CVE-2018-1002102未验证的重定向#85867
CVE-2019-11255CSI 卷快照、克隆和调整大小功能可能导致未经授权的卷数据访问或修改#85233
CVE-2019-11253Kubernetes API 服务器 JSON/YAML 解析容易受到资源耗尽攻击#83253
CVE-2019-11250Bearer 令牌在日志中被泄露#81114
CVE-2019-11248/debug/pprof 在 kubelet 的 healthz 端口上公开#81023
CVE-2019-11249CVE-2019-1002101 和 CVE-2019-11246 的不完整修复,kubectl cp 潜在的目录遍历#80984
CVE-2019-11247API 服务器允许通过错误的范围访问自定义资源#80983
CVE-2019-11245容器 uid 在第一次重启后或如果映像已拉取到节点后更改为 root#78308
CVE-2019-11243rest.AnonymousClientConfig() 不会从 rest.InClusterConfig() 创建的配置中删除服务帐户凭据#76797
CVE-2019-11244`kubectl:-http-cache=<world-accessible dir>` 创建全局可写缓存架构文件#76676
CVE-2019-1002100json-patch 请求可能会耗尽 apiserver 资源#74534
CVE-2018-1002105kube-apiserver 中的代理请求处理可能会留下易受攻击的 TCP 连接#71411
CVE-2018-1002101smb 挂载安全问题#65750
CVE-2018-1002100Kubectl 复制不检查其目标目录之外的路径。#61297
CVE-2017-1002102原子写入器卷处理允许在主机文件系统中任意删除文件#60814
CVE-2017-1002101子路径卷挂载处理允许在主机文件系统中进行任意文件访问#60813
CVE-2017-1002100Azure PV 应该是私有范围而不是容器范围#47611
CVE-2017-1000056PodSecurityPolicy 准入插件授权不正确#43459

此 feed 会自动刷新,从 CVE 发布到在此 feed 中可访问的时间存在明显但很小的滞后(几分钟到几小时)。

此 feed 的真理来源是一组 GitHub Issues,由受控和受限标签 official-cve-feed 过滤。原始数据存储在 Google Cloud Bucket 中,该存储桶只能由少数受信任的社区成员写入。

上次修改时间:2023 年 4 月 11 日下午 7:18 PST:从 alpha -> beta 的切换 (ec9d29c0df)