概述
CVE-2025-2843
Observability Operator: observability operator权限提升
漏洞描述
在Observability Operator中发现一个安全漏洞。该Operator在部署命名空间范围的自定义资源MonitorStack时,会创建一个具有ClusterRole的ServiceAccount。此问题允许仅具有命名空间级别角色的恶意Kubernetes账户(例如,控制命名空间的租户)在授权命名空间中创建MonitorStack,然后通过模拟Operator创建的ServiceAccount将权限提升到集群级别,导致权限提升和其他问题。
漏洞时间线
- 发布日期:2025年11月12日 17:15
- 最后修改:2025年11月12日 17:15
- 远程利用:是!
- 来源:secalert@redhat.com
受影响产品
目前尚未记录受影响的产品 总受影响供应商:0 | 产品:0
CVSS评分
CVSS 3.1
- 评分:8.8
- 严重性:高危
- 向量:53f830b8-0a3f-465b-8143-3b8a9948e749
- 可利用性评分:2.8
- 影响评分:5.9
- 来源:secalert@redhat.com
解决方案
限制MonitorStack创建和ServiceAccount模拟,以防止权限提升:
- 限制MonitorStack创建权限
- 审查ServiceAccount模拟设置
- 为ServiceAccounts实施最小权限原则
- 更新到Operator的修补版本
参考资源
| URL | 资源 |
|---|---|
| https://access.redhat.com/errata/RHSA-2025:21146 | |
| https://access.redhat.com/security/cve/CVE-2025-2843 | |
| https://bugzilla.redhat.com/show_bug.cgi?id=2355222 |
CWE - 通用弱点枚举
CWE-266:不正确的权限分配
漏洞历史记录
新CVE接收 由secalert@redhat.com于2025年11月12日接收
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 在Observability Operator中发现一个安全漏洞。该Operator在部署命名空间范围的自定义资源MonitorStack时,会创建一个具有ClusterRole的ServiceAccount。此问题允许仅具有命名空间级别角色的恶意Kubernetes账户(例如,控制命名空间的租户)在授权命名空间中创建MonitorStack,然后通过模拟Operator创建的ServiceAccount将权限提升到集群级别,导致权限提升和其他问题。 | |
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | |
| 添加 | CWE | CWE-266 | |
| 添加 | 参考 | https://access.redhat.com/errata/RHSA-2025:21146 | |
| 添加 | 参考 | https://access.redhat.com/security/cve/CVE-2025-2843 | |
| 添加 | 参考 | https://bugzilla.redhat.com/show_bug.cgi?id=2355222 |
CVSS 3.1评分详情
基础CVSS评分:8.8
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:低
- 用户交互:无
- 范围:未更改
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高