Kubernetes資安回應團隊近期公佈映像檔建置工具（Image Builder）漏洞CVE-2024-9486、CVE-2024-9594，攻擊者有可能藉此得到虛擬機器（VM）的root權限，而這些漏洞發生的原因，源於映像檔建置過程中，使用了預設的帳密資料。這些漏洞影響0.1.37版以前的Kubernetes Image Builder，開發團隊發布0.1.38版緩解上述弱點。

這兩項漏洞較為嚴重的是CVE-2024-9486，主要原因在於：以Proxmox提供者（provider）建置而成的虛擬機器映像，無法停用當中的預設帳號，若用這些映像檔建置節點，後續有心人士可透過這些預設帳密進行存取，藉此取得root權限，CVSS風險評分達到9.8。

另一個漏洞CVE-2024-9594，則是涉及其他系統平臺提供者產生的映像檔，這些提供者包含Nutanix、OVA、QEMU，在映像建置過程也會啟用預設的帳密組態，而此預設帳密同樣可用於取得root權限，但不同的是，在映像檔建置完成後，這些帳密就會被停用。該漏洞被評為中度風險，CVSS評為6.3。

針對上述情形，Kubernetes資安回應團隊除提供新版映像檔建置工具，並呼籲用戶應透過這些已解決上述問題的工具，重建具有潛在風險的映像檔。