CVE-2020-8554— Kubernetes 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2020-8554の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Kubernetes man in the middle using LoadBalancer or ExternalIPs
ソース: NVD (National Vulnerability Database)
脆弱性説明
Kubernetes API server in all versions allow an attacker who is able to create a ClusterIP service and set the spec.externalIPs field, to intercept traffic to that IP address. Additionally, an attacker who is able to patch the status (which is considered a privileged operation and should not typically be granted to users) of a LoadBalancer service can set the status.loadBalancer.ingress.ip to similar effect.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
未经验证的属主
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Kubernetes 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Kubernetes是美国Linux基金会的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。 Kubernetes 存在安全漏洞,攻击者可利用该漏洞可以通过Kubernetes上的LoadBalancer ExternalIP充当中间人,以便在会话中读取或写入数据。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| Kubernetes | Kubernetes | Kubernetes all versions | - |
II. CVE-2020-8554の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|---|---|---|
| 1 | CVE-2020-8554: Man in the middle using LoadBalancer or ExternalIPs | https://github.com/rancher/externalip-webhook | POC詳細 |
| 2 | Mitigate CVE-2020-8554 with Policy Controller in Anthos | https://github.com/jrmurray000/CVE-2020-8554 | POC詳細 |
| 3 | Prisma Cloud Compute Admission rules to mitigate Kubernetes CVE-2020-8554 | https://github.com/twistlock/k8s-cve-2020-8554-mitigations | POC詳細 |
| 4 | None | https://github.com/Dviejopomata/CVE-2020-8554 | POC詳細 |
| 5 | None | https://github.com/alebedev87/gatekeeper-cve-2020-8554 | POC詳細 |
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2020-8554のインテリジェンス情報
お願いします ログイン より多くのインテリジェンス情報を見る
- https://www.oracle.com/security-alerts/cpujan2022.htmlx_refsource_MISC
- https://github.com/kubernetes/kubernetes/issues/97076x_refsource_MISC
- https://www.oracle.com//security-alerts/cpujul2021.htmlx_refsource_MISC
- https://www.oracle.com/security-alerts/cpuapr2022.htmlx_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2020-8554
Same Patch Batch · Kubernetes · 2021-01-21 · 5 CVEs total
| CVE-2020-8568 | 5.8 MEDIUM | Kubernetes Secrets Store CSI Driver sync/rotate directory traversal |
| CVE-2020-8567 | 4.9 MEDIUM | Kubernetes Secrets Store CSI Driver plugin directory traversals |
| CVE-2020-8569 | 4.3 MEDIUM | Kubernetes CSI snapshot-controller DoS |
| CVE-2020-8570 | Kubernetes Java client libraries unvalidated path traversal in Copy implementation |
IV. 関連脆弱性
同じ製品: Kubernetes
- CVE-2025-13281
Portworx Half-Blind SSRF in kube-controller-manager - CVE-2025-5187
Nodes can delete themselves by adding an OwnerReference - CVE-2025-4563
Nodes can bypass dynamic resource allocation authorization c - CVE-2024-5321
Incorrect permissions on Windows containers logs - CVE-2024-3177
Bypassing mountable secrets policy imposed by the ServiceAcc
同じベンダー: Kubernetes
- CVE-2026-3864
CSI Driver for NFS path traversal via subDir may delete unin - CVE-2026-4342
ingress-nginx comment-based nginx configuration injection - CVE-2026-3288
ingress-nginx rewrite-target nginx configuration injection - CVE-2025-15566
ingress-nginx auth-proxy-set-headers nginx configuration inj - CVE-2026-24514
ingress-nginx Admission Controller denial of service
同じ弱点: CWE-283
- CVE-2026-40337
Sentry kernel has incomplete ownership check for IRQ line ma - CVE-2026-29788
TSPortal: Anyone can forge self-deletion requests of any use - CVE-2026-27486
OpenClaw: Process Safety - Unvalidated PID Kill via SIGKILL - CVE-2026-0598
Ansible-lightspeed: broken object level authorization leadin - CVE-2025-12815
Amazon Web Services Research and Engineering Studio 安全漏洞
V. CVE-2020-8554へのコメント
まだコメントはありません