CVE-2022-36035
Flux CLI Workload Injection
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
0Exploited in Wild
-Decision
Descriptions
Flux is a tool for keeping Kubernetes clusters in sync with sources of configuration (like Git repositories), and automating updates to configuration when there is new code to deploy. Flux CLI allows users to deploy Flux components into a Kubernetes cluster via command-line. The vulnerability allows other applications to replace the Flux deployment information with arbitrary content which is deployed into the target Kubernetes cluster instead. The vulnerability is due to the improper handling of user-supplied input, which results in a path traversal that can be controlled by the attacker. Users sharing the same shell between other applications and the Flux CLI commands could be affected by this vulnerability. In some scenarios no errors may be presented, which may cause end users not to realize that something is amiss. A safe workaround is to execute Flux CLI in ephemeral and isolated shell environments, which can ensure no persistent values exist from previous processes. However, upgrading to the latest version of the CLI is still the recommended mitigation strategy.
Flux es una herramienta para mantener los clusters Kubernetes sincronizados con las fuentes de configuración (como los repositorios Git), y para automatizar las actualizaciones de la configuración cuando se presenta nuevo código que desplegar. Flux CLI permite a usuarios desplegar componentes de Flux en un clúster de Kubernetes por medio de la línea de comandos. La vulnerabilidad permite que otras aplicaciones sustituyan la información de despliegue de Flux por contenido arbitrario que es desplegado en el clúster Kubernetes de destino. La vulnerabilidad es debido a un manejo inapropiado de la entrada suministrada por el usuario, lo que resulta en un recorrido de ruta que puede ser controlado por el atacante. Los usuarios que compartan el mismo shell entre otras aplicaciones y los comandos CLI de Flux podrían verse afectados por esta vulnerabilidad. En algunos escenarios no presentan errores, lo que puede causar que usuarios finales no den cuenta de que algo anda mal. Una mitigación segura es ejecutar Flux CLI en entornos de shell efímeros y aislados, lo que puede garantizar que no existan valores persistentes de procesos anteriores. Sin embargo, la actualización a la última versión de la CLI sigue siendo la estrategia de mitigación recomendada
CVSS Scores
SSVC
- Decision:-
Timeline
- 2022-07-15 CVE Reserved
- 2022-08-31 CVE Published
- 2023-03-08 EPSS Updated
- 2024-08-03 CVE Updated
- ---------- Exploited in Wild
- ---------- KEV Due Date
- ---------- First Exploit
CWE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
CAPEC
References (2)
| URL | Tag | Source |
|---|---|---|
| https://github.com/fluxcd/flux2/releases/tag/v0.32.0 | Release Notes | |
| https://github.com/fluxcd/flux2/security/advisories/GHSA-xwf3-6rgv-939r | Mitigation |
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
Affected Vendors, Products, and Versions
| Vendor | Product | Version | Other | Status | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
| Fluxcd Search vendor "Fluxcd" | Flux2 Search vendor "Fluxcd" for product "Flux2" | >= 0.21.0 < 0.32.0 Search vendor "Fluxcd" for product "Flux2" and version " >= 0.21.0 < 0.32.0" | - |
Affected
| ||||||