CVE-2019-11247
1 分钟 阅读时间
API Server 允许通过错误的范围访问自定义的资源。
漏洞影响
如果某个用户请求的资源已划分到命名空间,Kubernetes kube-apiserver 将错误地允许该用户访问集群范围内的自定义资源。
以这种方式访问资源将等同于授予命名空间内所有角色及其权限,这意味着本来只能访问命名空间中一个资源的用户将能够创建、查看、更新或删除整个集群范围的资源(具体取决于其命名空间角色权限)。
官方修复的版本
- v1.12.12
KLTS 修复的版本
- v1.12.10-lts.2 kubernetes/kubernetes#80852
- v1.11.10-lts.2 CVE-2019-11247.1.11.patch
- v1.10.13-lts.2 未包含该修复
Feedback
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.
最后修改
2026.04.15
: docs: sync CVE-2019-11247 fixed versions with releases.yml (e0b97212)