概述
CVE-2025-62714
Karmada Dashboard API未授权访问漏洞
漏洞描述
Karmada Dashboard是一个基于Web的通用控制面板,用于管理Karmada多集群管理项目。在0.2.0版本之前,Karmada Dashboard API存在认证绕过漏洞。后端API端点(例如/api/v1/secret、/api/v1/service)未强制执行身份验证,允许未经认证的用户直接访问敏感的集群信息,如Secrets和Services。尽管Web UI需要有效的JWT才能访问,但API本身仍然暴露给直接请求,没有任何身份验证检查。任何具有对Karmada Dashboard服务网络访问权限的用户或实体都可以利用此漏洞检索敏感数据。
漏洞时间线
- 发布日期:2025年10月24日 16:28
- 最后修改:2025年10月24日 16:28
- 远程利用:是
- 来源:security-advisories@github.com
受影响产品
目前尚未记录受影响的产品 总受影响供应商:0 | 产品:0
CVSS评分
| 评分 | 版本 | 严重程度 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 8.7 | CVSS 4.0 | 高 | - | - | - | security-advisories@github.com |
解决方案
- 将Karmada Dashboard更新到0.2.0或更高版本以修复API认证绕过问题
- 确保API端点强制执行身份验证
- 验证用户访问控制是否已实施
参考链接
- https://github.com/karmada-io/dashboard/commit/8457b8bb87725e2371a638ca5a255fd2895c70f1
- https://github.com/karmada-io/dashboard/commit/d2d04909f25e96b4c20fa6b636c398bd1636ee06
- https://github.com/karmada-io/dashboard/pull/271
- https://github.com/karmada-io/dashboard/pull/280
- https://github.com/karmada-io/dashboard/releases/tag/v0.2.0
- https://github.com/karmada-io/dashboard/security/advisories/GHSA-5qjg-9mjh-4r92
CWE - 通用弱点枚举
CWE-862:缺少授权
常见攻击模式枚举和分类(CAPEC)
CAPEC-665:利用Thunderbolt保护缺陷
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | - | Karmada Dashboard是… |
| 新增 | CVSS V4.0 | - | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| 新增 | CWE | - | CWE-862 |
| 新增 | 参考链接 | - | 多个GitHub链接 |
CVSS 4.0评分详情
基础CVSS评分:8.7
| 攻击向量 | 攻击复杂度 | 攻击要求 | 所需权限 | 用户交互 | VS机密性 | VS完整性 | VS可用性 |
|---|---|---|---|---|---|---|---|
| 网络 | 低 | 无 | 无 | 无 | 高 | 无 | 无 |