漏洞描述
KubePi是一个K8s面板。它允许管理员导入多个Kubernetes集群,并且通过权限控制,将不同cluster、namespace的权限分配给指定用户。 KubePi 1.6.2及以前版本存在信任管理问题漏洞,该漏洞源于其jwt认证功能使用硬编码的jwtsigkey导致所有在线项目的jwtsigkey相同。攻击者可以伪造任何jwt令牌来接管任何在线项目的管理员帐户。
KubePi jwtsigkey 硬编码漏洞
PoC代码
暂无相关漏洞推荐
- POC CVE-2023-22463: KubePi JwtSigKey - Admin Authentication Bypass
- POC CVE-2023-22478: KubePi <= v1.6.4 LoginLogsSearch - Unauthorized Access
- POC CVE-2023-22463: KubePi JwtSigKey 登陆绕过漏洞
- KubePi JWT CVE-2024-36111 验证绕过漏洞
- KubePi JwtSigKey CVE-2023-22463 认证绕过漏洞
- KubePi LoginLogsSearch 未授权访问漏洞
- kubepi身份验证绕过漏洞(CVE-2023-22463)
- KubePi JWT 默认密钥权限绕过漏洞(CVE-2023-22463)
- KubePi 默认密码漏洞
- KubePi 信息泄露漏洞
- kubepi存在默认口令
- KubePi LoginLogsSearch 未授权访问漏洞(CVE-2023-22478)
- KubePi 授权问题漏洞