高危漏洞 CVE-2025-14269:Headlamp 中启用 Helm 时的凭证缓存问题

本文详细描述了一个在 Kubernetes 生态的 Headlamp 应用中发现的高危安全漏洞(CVE-2025-14269)。该漏洞存在于启用 Helm 功能时,可能导致未经身份验证的用户重用缓存的凭证来访问集群的 Helm 功能。

CVE-2025-14269: Credential caching in Headlamp with Helm enabled

原始跟踪问题: kubernetes-sigs/headlamp#4282

CVSS 评分: 高 (8.8) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

漏洞描述

在集群内版本的 Headlamp 中发现一个安全问题,未经身份验证的用户可能能够重用缓存的凭证,通过 Headlamp UI 访问 Helm 功能。仅当 Headlamp 已安装、配置了 config.enableHelm: true,并且之前已有授权用户访问过 Helm 功能时,Kubernetes 集群才会受到影响。

我是否受影响?

安装有集群内版本 Headlamp <= v0.38.0 且 config.enableHelm 设置为 true 的 Kubernetes 集群会受到影响。Headlamp 桌面版本不受影响。

受影响版本

  • Headlamp <= v0.38.0

如何缓解此漏洞?

升级到已修复的版本。在升级之前,可以通过确保 Headlamp 未通过 Ingress 服务器公开暴露来限制暴露范围,从而缓解此漏洞。

已修复版本

要升级,请参考文档:https://headlamp.dev/docs/latest/

检测

检查日志中是否有对 /clusters/main/helm/releases/list 及其他 Helm 相关端点的意外访问。 如果您发现此漏洞已被利用的证据,请联系 security@kubernetes.io

致谢

此漏洞由 brndstrp 报告。

/area security /kind bug /committee security-response /label official-cve-feed

评论与活动

Metadata

  • 标签: area/security, committee/security-response, kind/bug, official-cve-feed, triage/accepted
  • 类型: 问题
  • 状态: 已关闭
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次