CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2020-8567 – Kubernetes Secrets Store CSI Driver plugin directory traversals
https://notcve.org/view.php?id=CVE-2020-8567
Kubernetes Secrets Store CSI Driver Vault Plugin prior to v0.0.6, Azure Plugin prior to v0.0.10, and GCP Plugin prior to v0.2.0 allow an attacker who can create specially-crafted SecretProviderClass objects to write to arbitrary file paths on the host filesystem, including /var/lib/kubelet/pods. Kubernetes Secrets Store CSI Driver Vault Plugin anterior a versión v0.0.6, Azure Plugin anterior a versión v0.0.10 y GCP Plugin anterior a versión v0.2.0, permiten a un atacante que puede crear objetos SecretProviderClass especialmente diseñados para escribir en rutas de archivo arbitrarias en el sistema de archivos host , incluyendo la biblioteca /var/lib/kubelet/pods • https://github.com/kubernetes-sigs/secrets-store-csi-driver/issues/384 https://groups.google.com/g/kubernetes-secrets-store-csi-driver/c/BI2qisiNXHY • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-24: Path Traversal: '../filedir' •