CVE-2019-11248

High

The debugging endpoint /debug/pprof is exposed over the unauthenticated Kubelet healthz port. The go pprof endpoint is exposed over the…

kubernetes·CWE-419·Published 2019-08-29

CVSS

8.2

EPSS

0.61

KEV

Exploits

cve.orgen

468 chars

The debugging endpoint /debug/pprof is exposed over the unauthenticated Kubelet healthz port. The go pprof endpoint is exposed over the Kubelet's healthz port. This debugging endpoint can potentially leak sensitive information such as internal Kubelet memory addresses and configuration, or for limited denial of service. Versions prior to 1.15.0, 1.14.4, 1.13.8, and 1.12.10 are affected. The issue is of medium severity, but not exposed by the default configuration.

NVDen

468 chars

NVDes

526 chars

El extremo de depuración /debug/pprof se expone a través del puerto de salud de Kubelet no autenticado. El punto final del pprof go se expone sobre el puerto healthz del Kubelet. Este extremo de depuración puede filtrar información confidencial, como las direcciones internas de memoria y la configuración de Kubelet, o por una denegación de servicio limitada. Las versiones anteriores a 1.15.0, 1.14.4, 1.13.8 y 1.12.10 se ven afectadas. El problema es de gravedad media, pero no expuesto por la configuración predeterminada.

CVSS metrics across sources

Version	Type	Source	Base	Exp	Impact	Vector
2.0	Primary	NVD	6.4	10.0	4.9	AV:N/AC:L/Au:N/C:P/I:N/A:P
3.0	Primary	cve.org	6.5	—	—	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L
3.0	Primary	cve.org	6.5	—	—	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L
3.0	Secondary	NVD	6.5	3.9	2.5	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L
3.1	Primary	NVD	8.2	3.9	4.2	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L