CVE-2024-10975

ALT (7,7)

CVSS3: 6,7

HashiCorp Nomad Community and Enterprise podria permetre que un atacant remot autenticat eludeixi les restriccions de seguretat, causades per un error d’escriptura de volum de la interfície d’emmagatzematge de contenidors (CSI) no autoritzat. Mitjançant l’enviament d’una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per realitzar una creació arbitrària de volums entre espais de noms.

Sistemes Afectats

• HashiCorp Nomad Community – 1.3.0
• HashiCorp Nomad Community – 1.9.1
• HashiCorp Nomad Enterprise – 1.3.0
• HashiCorp Nomad Enterprise – 1.9.1

Remediació
Consulteu l’assessorament de seguretat de HashiCorp HCSEC-2024-27 per obtenir informació sobre pedaços, actualitzacions o solucions alternatives suggerides. Vegeu-ne les Referències.

Referències

• https://discuss.hashicorp.com/t/hcsec-2024-27-nomad-vulnerable-to-cross-namespace-volume-creation-abusing-csi-write-permission