ГлавнаяБаза уязвимостей БДУ → BDU:2022-05470
7.5высокая

BDU:2022-05470 (CVE-2022-38790)

Уязвимость программного средства развертывания и управления кластерами Kubernetes Weave GitOps Enterprise, связанная с отсутствием мер по очистке входных данных, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS)
Опубликовано: 2022-09-02
Описание

Уязвимость программного средства развертывания и управления кластерами Kubernetes Weave GitOps Enterprise связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS) с помощью специально созданной ссылки

Затрагиваемое ПО и версии
Weave GitOps Enterprise (до 0.9.0-rc.5)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование систем управления доступом (RBAC);
- - использование входных данных только из доверенных источников.

Использование рекомендаций производителя:
https://docs.gitops.weave.works/security/cve/enterprise/CVE-2022-38790/index.html

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://docs.gitops.weave.works/docs/cluster-management/getting-started/#profiles-and-clustershttps://docs.gitops.weave.works/docs/introhttps://docs.gitops.weave.works/security/cve/enterprise/CVE-2022-38790/index.htmlhttps://www.weave.works/product/gitops-enterprise/
Проверьте безопасность своего сайта и почты → Полная проверка домена