关键漏洞信息 漏洞概述 CVE ID: CVE-2024-52284 GHSA ID: GHSA-9h9x-9j5v-7w9h 严重性: 高 (7.7/10) CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 低 - 用户交互: 无 - 范围: 变更 - 机密性影响: 高 - 完整性影响: 无 - 可用性影响: 无 影响 受影响版本: - >= 0.13.0, = 0.12.0, = 0.11.0, < 0.11.10 修复版本: - 0.13.1-0.20250806151509-088bcbea7edb - 0.12.6 - 0.11.10 描述 问题: 使用 Fleet 管理 Helm 图表时,敏感信息通过 以明文形式存储。 影响: 1. 未经授权的数据泄露:任何具有 或 权限的用户可以检索包含凭据或其他秘密的 Helm 值。 2. 缺乏静态加密: 默认未配置为使用 Kubernetes 静态加密,导致敏感值在集群数据存储中保持未加密状态。 修复措施 修补程序: 为每个 Bundle 和 BundleDeployment 添加存储选项的秘密功能。 修复版本: v0.14.0, v0.13.1, v0.12.6, v0.11.10 解决方案 如果无法升级到固定版本,请确保指定路径到 valuesFiles 作为简单文件名,例如: 引用 GitHub Advisory Rancher/Fleet