KubePi 漏洞列表

KubePi 中存在 JWT硬编码，攻击者通过硬编码可以获取服务器后台管理权限，添加任意用户 FOFA: "kubepi"

KubePi is a k8s panel. The jwt authentication function of KubePi through version 1.6.2 uses hard-coded Jwtsigkeys, resulting in the same Jwtsigkeys for all online projects. This means that an attacker can forge any jwt token to take over the administrator account of any online project. Furthermore, they may use the administrator to take over the k8s cluster of the target enterprise. `session.go`, the use of hard-coded JwtSigKey, allows an attacker to use this value to forge jwt tokens arbitrarily. The JwtSigKey is confidential and should not be hard-coded in the code.

KubePi is a modern Kubernetes panel. The API interfaces with unauthorized entities and may leak sensitive information. This issue has been patched in version 1.6.4. There are currently no known workarounds.

KubePi存在验证绕过漏洞。此漏洞是由于对jwttoken校验不正确导致的。

KubePi 是一个现代化的 K8s 面板。KubePi 中存在 JWT硬编码，攻击者通过硬编码可以获取服务器后台管理权限，添加任意用户

KubePi 是一款简单易用的开源 Kubernetes 可视化管理面板。KubePi 存在权限绕过漏洞，攻击者可通过默认 JWT 密钥获取管理员权限控制整个平台，使用管理员权限操作核心的功能。

KubePi 是一款简单易用的开源 Kubernetes 可视化管理面板。KubePi 存在默认口令漏洞，攻击者可通过默认口令登陆管理员账号控制整个平台，使用管理员权限操作核心的功能。

KubePi是一个K8s面板。它允许管理员导入多个Kubernetes集群，并且通过权限控制，将不同cluster、namespace的权限分配给指定用户。 KubePi 1.6.5之前版本存在信息泄露漏洞，该漏洞源于端点/kubepi/api/v1/users/search?pageNum=1&&pageSize=10泄漏任何用户的密码哈希。

KubePi 是一个现代化的 K8s 面板。版本<v1.6.3中存在jwt密钥硬编码导致可伪造凭证。攻击者可利用此漏洞接管k8s资产。

KubePi 是一个现代化的K8s 面板。 KubePi 允许管理员导入多个Kubernetes集群，并且通过权限控制，将不同cluster、namespace 的权限分配给指定用户。KubePi LoginLogsSearch方法下的接口存在未授权访问漏洞，攻击者通过漏洞可以未授权获取用户的登录日志信息，进一步爆破用户

KubePi是一个K8s面板。它允许管理员导入多个Kubernetes集群，并且通过权限控制，将不同cluster、namespace的权限分配给指定用户。 KubePi 1.6.2及以前版本存在信任管理问题漏洞，该漏洞源于其jwt认证功能使用硬编码的jwtsigkey导致所有在线项目的jwtsigkey相同。攻击者可以伪造任何jwt令牌来接管任何在线项目的管理员帐户。

KubePi是一个K8s面板。它允许管理员导入多个Kubernetes集群，并且通过权限控制，将不同cluster、namespace的权限分配给指定用户。 KubePi 1.6.3及之前版本存在授权问题漏洞，该漏洞源于会话固定攻击允许攻击者劫持合法用户会话，该攻击调查了在线应用程序处理会话 ID 的方式中的缺陷，尤其是易受攻击的 Web 应用程序。