← volver
CVE-2024-23650

BuildKit possible panic when incorrect parameters sent from frontend

CVSS 5.3 MEDIUMEPSS 1.0%CWE-754
En resumen

Un cliente BuildKit malicioso puede enviar solicitudes especialmente elaboradas que causen el colapso del daemon BuildKit, provocando una denegación de servicio. Esta vulnerabilidad afecta a sistemas que utilizan BuildKit con frontends no confiables.

Detalle técnico

El daemon BuildKit se bloquea con panic debido a un manejo inadecuado de errores (CWE-754) al recibir parámetros malformados de un cliente frontend. Un atacante con capacidad de interacción con la API de BuildKit puede desencadenar una condición de panic no controlada, resultando en denegación de servicio. Requiere acceso de red o local al daemon BuildKit.

Resumen generado y traducido por IA a partir de la descripción oficial.
BuildKit is a toolkit for converting source code to build artifacts in an efficient, expressive and repeatable manner. A malicious BuildKit client or frontend could craft a request that could lead to BuildKit daemon crashing with a panic. The issue has been fixed in v0.12.5. As a workaround, avoid using BuildKit frontends from untrusted sources.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Productos afectados
moby · buildkit

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/moby/buildkit/pull/4601https://github.com/moby/buildkit/releases/tag/v0.12.5https://github.com/moby/buildkit/security/advisories/GHSA-9p26-698r-w4hx