近期，有第三方平台的安全技术人员发现了在 KubeSphere 开源版 3.4.1 及 4.1.1 上存在不安全的直接对象引用（IDOR）的漏洞，该漏洞允许低权限的通过认证的攻击者在没有适当授权检查的情况下访问敏感资源。我们及时与对方进行了联系，并帮助对方解决了此问题，CVE 漏洞的详细信息及问题处理过程可以参考以下链接：

CVE-2024-46528： https://nvd.nist.gov/vuln/detail/CVE-2024-46528

IDOR Vulnerability in KubeSphere： https://okankurtulus.com.tr/2024/09/09/idor-vulnerability-in-kubesphere/

影响范围

• KubeSphere 4.x 受影响版本: < 4.1.3
• KubeSphere 3.x 受影响版本: >= 3.0.0, <= 3.4.1
• KubeSphere Enterprise 4.x 受影响版本: < 4.1.3
• KubeSphere Enterprise 3.x 受影响版本: >= 3.0.0, <= 3.5.0

规避方案

移除 authenticated 平台角色非必需的资源授权：

kubectl patch globalrole.iam.kubesphere.io authenticated --type merge -p '{"rules": [{"apiGroups":["monitoring.kubesphere.io","metering.kubesphere.io","monitoring.coreos.com"],"resources":["cluster"],"verbs":["list"]},{"apiGroups":["resources.kubesphere.io"],"resources":["clusters"],"verbs":["get","list"]}]}'

此变更加强了对普通用户的权限约束，普通的项目成员在打开的页面，如果要调用这些需要特权 API 的时候会有 Forbidden 弹框。

未来的修复计划

此漏洞风险等级不高，您可以通过以上规避方案解决此问题，同时，我们也会在 KubeSphere 下一个正式版本 4.1.3 中修复此问题，预计发布时间为 2025 年 1 月份。

对安全的承诺

KubeSphere 持续致力于为企业客户提供安全可靠的云原生全栈解决方案。我们重视用户对我们平台的信任，并努力确保我们的系统符合最高的安全和性能标准。同时，KubeSphere 社区对 Okan Kurtuluş 对此问题的及时发现以及与我们的积极沟通表示极大的感谢。

更多信息

寻求有关 CVE-2024-46528 及其解决方案的更多详情的用户可以联系 KubeSphere 支持团队，联系方式为 [security@kubesphere.io]。