CVE-2024-29037 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Helm 包管理器在生成个人访问令牌时，使用了**默认密钥**。 🔥 **后果**：令牌极易被预测或伪造，导致**身份认证失效**，攻击者可冒充合法用户。

🛡️ **CWE-1394**：使用可预测的或硬编码的密钥。 🔍 **缺陷点**：在创建个人访问令牌（Personal Access Token）时，未使用安全的随机数生成器，而是使用了**默认/固定密钥**。

📦 **厂商**：acryldata 📦 **产品**：datahub-helm 📉 **受影响版本**：**0.1.143** 至 **0.2.182** 之前版本。 ✅ **安全版本**：0.2.182 及以上。

🕵️ **权限**：获取**完全控制**权限（CVSS 3.1 评分高，C:H, I:H）。 💾 **数据**：可读取、修改或删除 Kubernetes 集群中的敏感数据。 🔑 **操作**：利用默认密钥伪造令牌，绕过身份验证。

📶 **攻击向量**：网络远程（AV:N）。 🔒 **权限要求**：无需认证（PR:N）。 👀 **用户交互**：无需用户交互（UI:N）。 📊 **难度**：**极低**（AC:L），因为密钥是默认的，无需复杂爆破。

📜 **PoC**：数据中未提供公开 PoC。 🌍 **在野利用**：暂无明确在野利用报告。 ⚠️ **风险**：由于利用门槛极低，**极可能被自动化脚本广泛利用**。

🔍 **自查方法**： 1. 检查 Helm Chart 版本是否在 **0.1.143 - 0.2.181** 之间。 2. 审查 Helm 配置中是否使用了**硬编码密钥**生成令牌。 3. 扫描 Kubernetes 集群中是否存在使用默认密钥生成的 PAT。

🔧 **官方修复**：已修复。 📌 **修复版本**：**0.2.182** 及更高版本。 🔗 **参考**：GitHub Advisory GHSA-82p6-9h7m-9h8j 及提交记录 ea8a178。

🚫 **临时规避**： 1. **升级**到 0.2.182+ 是最优解。 2. 若无法升级，**手动替换**默认密钥为高强度随机密钥。 3. 限制 Helm 服务的网络访问，仅允许可信 IP 访问。

🔥 **优先级**：**紧急**（Critical）。 💡 **理由**：CVSS 评分高，无需认证即可利用，且涉及核心访问控制。建议**立即升级**或应用缓解措施。