CVE-2023-23939— Azure setup-kubectl 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2023-23939の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Azure/setup-kubectl: Escalation of privilege vulnerability for v3 and lower
ソース: NVD (National Vulnerability Database)
脆弱性説明
Azure/setup-kubectl is a GitHub Action for installing Kubectl. This vulnerability only impacts versions before version 3. An insecure temporary creation of a file allows other actors on the Actions runner to replace the Kubectl binary created by this action because it is world writable. This Kubectl tool installer runs `fs.chmodSync(kubectlPath, 777)` to set permissions on the Kubectl binary, however, this allows any local user to replace the Kubectl binary. This allows privilege escalation to the user that can also run kubectl, most likely root. This attack is only possible if an attacker somehow breached the GitHub actions runner or if a user is utilizing an Action that maliciously executes this attack. This has been fixed and released in all versions `v3` and later. 775 permissions are used instead. Users are advised to upgrade. There are no known workarounds for this issue.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:L
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
关键资源的不正确权限授予
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Azure setup-kubectl 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
setup-kubectl是在Azure云中安装kubectl的工具。 Azure setup-kubectl 3.0之前版本存在安全漏洞。攻击者利用该漏洞可以升级权限。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| Azure | setup-kubectl | < 3 | - |
II. CVE-2023-23939の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2023-23939のインテリジェンス情報
请登录查看更多情报信息。
IV. 関連脆弱性
同じベンダー: Azure
- CVE-2026-32952
go-ntlmssp NTLM challenges can panic on malformed payloads - CVE-2024-29195
Azure C SDK Integer Wraparound Vulnerability - CVE-2024-27099
Azure IoT Platform Device SDK Double Free Vulnerability - CVE-2024-25110
Azure IoT Platform Device SDK Remote Code Execution Vulnerab - CVE-2024-21638
Azure IPAM solution Elevation of Privilege Vulnerability
同じ弱点: CWE-732
- CVE-2026-41288
WatchGuard Agent on Windows Privilege Escalation Vulnerabili - CVE-2026-41686
Claude SDK for TypeScript has Insecure Default File Permissi - CVE-2026-6499
ILM Informatique OpenConcerto 安全漏洞 - CVE-2026-41366
OpenClaw < 2026.3.31 - Arbitrary Host File Read via appendLo - CVE-2026-35367
uutils coreutils nohup Information Disclosure via Insecure D
V. CVE-2023-23939へのコメント
まだコメントはありません