CVE-2024-7387 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径穿越导致命令注入。📉 **后果**：恶意用户可在构建节点执行**任意命令**，直接导致集群沦陷。

🔍 **CWE**：CWE-250（拥有特权的进程执行意外操作）。🐛 **缺陷**：openshift/builder 组件未严格校验路径，允许**符号链接遍历**覆盖系统二进制文件。

🏢 **厂商**：Red Hat。📦 **产品**：OpenShift Container Platform。📌 **版本**：OpenShift 4 系列。

🔓 **权限**：从 Developer 提权至 Node 节点 Root。💾 **数据**：可提取 Kubelet 证书，实现**全集群控制**，覆盖 C/I/A 全部高危指标。

🔑 **门槛**：需 **PR:H**（高权限/认证）。🛠️ **配置**：需能挂载 Secret 到指向 `/usr/bin` 的符号链接，利用构建过程触发。

💻 **Exp**：有！GitHub 上多个 PoC（如 0xSigSegv0x00, fatcatresearch 等）。🔥 **状态**：利用逻辑清晰，可覆盖系统命令实现提权。

🔎 **自查**：检查 OpenShift 4 构建策略配置。📂 **特征**：监控是否有恶意符号链接指向系统目录（如 `/usr/bin`），或 Secret 挂载异常。

🛡️ **补丁**：已修复！📅 **时间**：2024-09-16 发布。📄 **公告**：参考 RHSA-2024:6691 和 RHSA-2024:6705 紧急安全公告。

⚠️ **规避**：若无法立即升级，限制构建权限，严禁挂载 Secret 至系统关键路径，禁用 Docker 构建策略中的不安全配置。

🔥 **优先级**：**极高**！CVSS 9.8 分，S:C（影响范围扩大），C/I/A:H（全破坏）。建议**立即**应用补丁或实施缓解措施。