CVSS: 7.4EPSS: 0%CPEs: 1EXPL: 1CVE-2019-3841
https://notcve.org/view.php?id=CVE-2019-3841
Kubevirt/virt-cdi-importer, versions 1.4.0 to 1.5.3 inclusive, were reported to disable TLS certificate validation when importing data into PVCs from container registries. This could enable man-in-the-middle attacks between a container registry and the virt-cdi-component, leading to possible undetected tampering of trusted container image content. Se reportó que kubevirt/virt-cdi-importer, desde la versión 1.4.0 hasta la 1.5.3 ambas incluidas, deshabilitaba la validación del certificado TLS al importar datos en los PVCs desde los registros de contenedores. Esto podría dar lugar a ataques Man-in-the-Middle (MitM) entre el registro de contenedores y el componente virt-cdi, lo cual podría resultar en una posible manipulación del contenido de las imágenes de un contenedor fiable sin que se detecte. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3841 https://github.com/kubevirt/containerized-data-importer/issues/678 • CWE-295: Improper Certificate Validation •