Kubernetes资安回应团队近期公布映像档建置工具（Image Builder）漏洞CVE-2024-9486、CVE-2024-9594，攻击者有可能借此得到虚拟机（VM）的root权限，而这些漏洞发生的原因，源于映像档建置过程中，使用了默认的帐密数据。这些漏洞影响0.1.37版以前的Kubernetes Image Builder，开发团队发布0.1.38版缓解上述弱点。

这两项漏洞较为严重的是CVE-2024-9486，主要原因在于：以Proxmox提供者（provider）建置而成的虚拟机映像，无法停用当中的默认帐号，若用这些映像档建置节点，后续有心人士可通过这些默认帐密进行存取，借此取得root权限，CVSS风险评分达到9.8。

另一个漏洞CVE-2024-9594，则是涉及其他系统平台提供者产生的映像档，这些提供者包含Nutanix、OVA、QEMU，在映像建置过程也会激活默认的帐密组态，而此默认帐密同样可用于取得root权限，但不同的是，在映像档建置完成后，这些帐密就会被停用。该漏洞被评为中度风险，CVSS评为6.3。

针对上述情形，Kubernetes资安回应团队除提供新版映像档建置工具，并呼吁用户应通过这些已解决上述问题的工具，重建具有潜在风险的映像档。