CVE-2025-14269 安全预警:Headlamp中启用Helm时的凭证缓存漏洞

本文详细披露了一个在Kubernetes生态中Headlamp插件的高危安全漏洞(CVE-2025-14269)。该漏洞存在于启用Helm功能的集群内Headlamp版本中,允许未经身份验证的用户利用缓存的凭据访问Helm功能,CVSS评分为8.8分。文章提供了受影响版本、缓解措施及修复版本信息。

CVE-2025-14269: 启用Helm时Headlamp中的凭证缓存漏洞

原始跟踪问题:kubernetes-sigs/headlamp#4282

CVSS 评级:高危 (8.8) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

漏洞描述

在Headlamp的集群内版本中发现一个安全问题,未经身份验证的用户可能能够重用缓存的凭据,通过Headlamp UI访问Helm功能。仅当Kubernetes集群安装了Headlamp、配置了 config.enableHelm: true,并且之前已有授权用户访问过Helm功能时,才会受到影响。

我是否受影响?

安装了集群内Headlamp且版本 <= v0.38.0 并设置了 config.enableHelm: true 的Kubernetes集群会受到影响。Headlamp桌面版本不受影响。

受影响版本

  • Headlamp <= v0.38.0

如何缓解此漏洞?

升级到已修复的版本。在升级之前,可以通过确保Headlamp未通过Ingress服务器公开暴露来限制暴露范围,从而缓解此漏洞。

已修复版本

要升级,请参考文档:https://headlamp.dev/docs/latest/

检测

检查日志中是否有对 clusters/main/helm/releases/list 及其他Helm相关端点的意外访问。

如果发现此漏洞被利用的证据,请联系 security@kubernetes.io

致谢

此漏洞由 brndstrp 报告。

活动记录摘要

  • 2025年12月18日: 问题由 cji 创建并关闭,标记了相关安全标签(area/security, kind/bug, committee/security-response, official-cve-feed, triage/accepted)。
  • 2025年12月18日: 用户 r0binak 在评论中提供了一个概念验证(PoC)链接:https://github.com/r0binak/CVE-2025-14269
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次