漏洞描述
KubePi是一个K8s面板。它允许管理员导入多个Kubernetes集群,并且通过权限控制,将不同cluster、namespace的权限分配给指定用户。 KubePi 1.6.2及以前版本存在信任管理问题漏洞,该漏洞源于其jwt认证功能使用硬编码的jwtsigkey导致所有在线项目的jwtsigkey相同。攻击者可以伪造任何jwt令牌来接管任何在线项目的管理员帐户。
漏洞危害
攻击者可以伪造任何jwt令牌来接管任何在线项目的管理员帐户
修复方法
官方已发布安全修复版本,请升级至1.6.3或之后的版本
https://github.com/1Panel-dev/KubePi/releases
参考链接
评分维度
长亭安全产品覆盖情况
漏洞时间线
EXP 披露
2023-01-05
漏洞披露
2023-01-05
漏洞信息更新
2025-04-01
