漏洞描述:
Sealos 是一个基于 Kubernetes 内核的开源云操作系统发行版。 在 4.2.1-rc4 之前的 Sealos 版本中,基于角色的访问控制 (RBAC) 权限配置不当导致攻击者能够获取集群控制权限,从而可以控制使用 Sealos 部署的整个集群以及数百个集群。 Pod 和集群内的其他资源。
利用条件:
低权限用户
漏洞利用可能性:待研判
影响版本:Sealos < 4.2.1-rc4
修复方法:
此问题已在版本 4.2.1-rc4 中得到解决。 建议用户升级。
官方补丁下载地址:
https://github.com/labring/sealos/commit/4cdf52e55666864e5f90ed502e9fc13e18985b7b