CVE-2024-56513：Karmada 漏洞使攻击者能够控制 Kubernetes 系统

Karmada (Kubernetes Armada) 中发现了一个高危漏洞 (CVE-2024-56513) ，该管理平台旨在促进跨多个 Kubernetes 集群和云的云原生应用程序。该漏洞的 CVSSv4 评分为 8.7，对使用 Karmada 的 PULL 模式集群的系统构成严重威胁。

CVE-2024-56513 漏洞存在于通过karmadactl register命令注册的 PULL 模式集群被授予过多权限 。这些集群旨在简化多云和混合云应用程序管理，却无意中暴露了关键的控制平面资源。能够以 karmada-agent 身份进行身份验证的攻击者可以利用这些权限获得对整个联合系统（包括所有成员集群）的管理控制权。

这种权限提升可能导致：

• 未经授权访问敏感配置数据。

• 操纵或破坏应用程序流量调度。

• 跨成员集群的潜在横向攻击。

该漏洞影响 Karmada 1.12.0 之前的所有版本。Karmada 已发布 1.12.0 版本，其中包含针对此漏洞的补丁。强烈建议用户尽快升级到此版本或更高版本。

对于无法立即升级的用户，Karmada 的组件权限文档提供了有关限制 PULL 模式集群访问权限的指导。实施这些配置可以降低漏洞利用风险，直到可以进行全面升级为止。