Plataforma
go
Componente
helm.sh/helm
Corregido en
2.7.3
2.7.2
La vulnerabilidad CVE-2019-1010275 es una falla de validación de certificados incorrecta en Helm, una herramienta para gestionar aplicaciones en Kubernetes. Esta falla permite a un atacante realizar ataques de tipo Man-in-the-Middle (MitM), interceptando y manipulando el tráfico de red. Afecta a versiones de Helm anteriores a 2.7.2+incompatible y la solución recomendada es actualizar a la versión corregida.
Esta vulnerabilidad es particularmente grave debido a su potencial para comprometer la seguridad de las implementaciones de Kubernetes. Un atacante que explote esta falla puede interceptar y modificar las solicitudes de Helm, lo que podría resultar en la instalación de código malicioso, la modificación de la configuración de las aplicaciones o el robo de información sensible. La falta de una validación adecuada de los certificados permite que un atacante se haga pasar por un servidor legítimo, engañando al cliente Helm para que acepte certificados falsificados. Esto abre la puerta a una amplia gama de ataques, desde la inyección de código hasta la exfiltración de datos.
Esta vulnerabilidad ha sido ampliamente reconocida y documentada. No se ha confirmado la explotación activa en campañas dirigidas, pero la disponibilidad de información sobre la vulnerabilidad aumenta el riesgo de explotación. Se recomienda monitorear los sistemas para detectar posibles intentos de explotación. La vulnerabilidad se encuentra catalogada en el NVD (National Vulnerability Database) y se considera de alta prioridad.
Organizations heavily reliant on Helm for Kubernetes deployments, particularly those using public or untrusted Helm repositories, are at significant risk. Environments with legacy Helm installations or those lacking robust network security controls are also particularly vulnerable.
• linux / server:
find /var/lib/helm/cache -type f -name '*.tgz' -printf '%P\n' | xargs sha256sum | grep -v 'expected_checksum'• generic web:
curl -I https://your-helm-repo.example.com/index.yaml | grep 'Server:'disclosure
patch
Estado del Exploit
EPSS
0.30% (54% percentil)
Vector CVSS
La mitigación principal para CVE-2019-1010275 es actualizar a la versión 2.7.2+incompatible o posterior de Helm. Si la actualización no es inmediatamente posible, se recomienda implementar una validación manual de certificados. Esto implica verificar la validez de los certificados antes de permitir que Helm interactúe con el servidor. Además, se pueden configurar políticas de seguridad de red (NSP) en Kubernetes para restringir el acceso a los clústeres y limitar el impacto de una posible explotación. Después de la actualización, confirme la corrección revisando los logs de Helm en busca de errores relacionados con la validación de certificados.
Actualice Helm a la versión 2.7.2 o superior. Esta versión corrige la validación incorrecta de certificados, impidiendo que clientes no autorizados se conecten al servidor. La actualización se puede realizar descargando la nueva versión desde el sitio web oficial de Helm o utilizando el gestor de paquetes correspondiente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-1010275 is a critical vulnerability in Helm allowing man-in-the-middle attacks. It affects versions before 2.7.2+incompatible, enabling attackers to intercept and modify Kubernetes charts.
You are affected if you are using Helm versions prior to 2.7.2+incompatible. Check your Helm version and upgrade immediately if vulnerable.
Upgrade Helm to version 2.7.2+incompatible or later. If immediate upgrade is not possible, implement stricter network controls and chart verification processes.
While no widespread exploitation campaigns are confirmed, the vulnerability's potential makes it a persistent risk. Public proof-of-concept exploits exist.
Refer to the official Helm security advisory: https://security.helm.sh/advisories/CVE-2019-1010275
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.