[TLP:CLEAR] Kubernetes Image Builder opravuje 1 zraniteľnosť
Kubernetes verziou 0.1.45 opravuje vysoko závažnú zraniteľnosť v produkte Kubernetes Image Builder. Okrem aktualizácie na opravenú verziu je potrebné znova vytvoriť postihnuté digitálne obrazy. Postup, ako overiť aktuálnu verziu, je uvedený na [1].
Neautentizovanému vzdialenému útočníkovi je umožnené získať prístup do účtu s právami root použitím hard-coded prihlasovacích údajov. Systém je zraniteľný iba v prípade, že vytvorené Windows VM virtuálne obrazy sú exportované pre Nutanix alebo vo formáte OVA. Ako dočasnú opravu je možné zmeniť heslo príkazom "net user Administrator <new-password>" priamo vo Windows VM" [1].
Zraniteľnosť sa nachádza v produkte Kubernetes Image Builder vo verziách <v0.1.45.
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-7342 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1392: Use of Default Credentials at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 22. 7. 2025.
Za CESNET-CERTS Martin Krajči dňa 22. 7. 2025.
