Kubernetes 漏洞预警:Headlamp中启用Helm时的凭据缓存问题

本篇文章详细描述了CVE-2025-14269漏洞,该漏洞影响Headlamp的集群内版本。当启用Helm功能时,未认证用户可能利用缓存的凭据通过Headlamp UI访问Helm功能。文章介绍了漏洞描述、受影响版本、缓解措施和修复版本。

CVE-2025-14269: 在启用Helm的Headlamp中存在凭据缓存问题

问题描述 在Headlamp的集群内版本中发现了一个安全问题,未经身份验证的用户可能能够重复使用缓存的凭据,通过Headlamp UI访问Helm功能。只有满足以下条件的Kubernetes集群才会受到影响:安装了Headlamp、配置了config.enableHelm: true,并且之前有授权用户访问过Helm功能。

我是否受到威胁? 安装了Headlamp集群内版本且版本号<= v0.38.0,并设置了config.enableHelm: true的Kubernetes集群会受到影响。Headlamp桌面版不受影响。

受影响版本

  • Headlamp <= v0.38.0

如何缓解此漏洞? 升级到已修复的版本。在升级之前,可以通过确保Headlamp未通过Ingress服务器公开暴露来限制暴露面,从而缓解此漏洞。

已修复版本

要升级,请参考文档:https://headlamp.dev/docs/latest/

检测 检查日志中是否有对clusters/main/helm/releases/list及其他Helm相关端点的意外访问。 如果您发现此漏洞已被利用的证据,请联系 security@kubernetes.io

致谢 此漏洞由 brndstrp 报告。

相关信息 原始跟踪问题:kubernetes-sigs/headlamp#4282 CVSS 评级:高危 (8.8) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 概念验证:https://github.com/r0binak/CVE-2025-14269

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次