Os pesquisadores de segurança divulgaram uma vulnerabilidade crítica na cápsula de Kubernetes v0.10.3 e versões anteriores que permitem que os usuários de inquilinos autenticados injetem etiquetas arbitrárias em namespaces do sistema, quebrando fundamentalmente o isolamento multi-quinante.
A vulnerabilidade, rastreada comoCVE-2025-55205Com uma pontuação CVSS de 9,9, permite que os invasores ignorem os limites de segurança e acessem recursos cruzados, levando a compromissos em todo o cluster.
Visão geral da vulnerabilidade
A vulnerabilidade recém -divulgada representa uma falha de segurança significativa na lógica da Webhook de validação de namespace da cápsula.
Localizado no espaço de nome/validação/patch.gofile, a vulnerabilidade decorre de verificações condicionais inadequadas que validam apenas a propriedade do inquilino quando um espaço para nome já contém um rótulo de inquilino.
Essa falha de design cria um mecanismo perigoso de desvio, onde namespaces do sistema sem rótulos de inquilinos padrão se tornam vulneráveis a não autorizados injeção de etiqueta.
O vetor de ataque reflete o previamente divulgado-2024-39690, mas utiliza a injeção de etiquetas em vez da manipulação de referência do proprietário para obter efeitos devastadores semelhantes.
Os usuários de inquilinos autenticados podem explorar essa fraqueza para injetar rótulos maliciosos em namespaces críticos do sistema, incluindo System de Kube, Padrão e Capsule-System, sequestrando efetivamente esses ambientes protegidos.
A vulnerabilidade permite um ataque de vários estágios, onde atores maliciosos injetam rótulos arbitrários em namespaces de sistema desprotegidos e, em seguida, alavancam os seletores de TenAntresource para obter acesso não autorizado a recursos cruzados.
Esse caminho de exploração permite que os invasores continentam restrições de cotas, ignoram as políticas de rede e potencialmente acessem configurações e segredos sensíveis ao cluster.
Pesquisadores de segurança demonstrado O ataque usando uma prova de conceito que injetou com sucesso os rótulos no Thekube-SystemNamespace e subsequentemente criou objetos de TenAntresource maliciosos para explorar o sistema de rotulagem comprometido.
O ataque requer apenas permissões básicas de RBAC e pode ser executado por qualquer usuário de inquilino autenticado com permissões de namespace de patches.
| Atributo | Detalhes |
| Cve id | CVE-2025-55205 |
| Pontuação do CVSS | 9.9 (crítico) |
| Versões afetadas | Cápsula ≤ 0,10,3 |
| Versão remendada | 0.10.4 |
| Vetor de ataque | Rede |
| Privilégios necessários | Baixo |
| Ataque complexidade | Baixo |
| Escopo | Mudado |
Essa vulnerabilidade apresenta riscos graves para ambientes de Kubernetes com vários inquilinos, afetando particularmente os provedores de serviços em nuvem e organizações que dependem da cápsula para o isolamento do inquilino.
O potencial de escalada de privilégios, exfiltração de dados e desvio de cotas de recursos faz disso uma preocupação de segurança de alta prioridade que exige atenção imediata.
Organizações em execução Kubernetes A cápsula deve atualizar imediatamente para a versão 0.10.4 para abordar essa vulnerabilidade crítica.
A gravidade dessa falha, combinada com seu potencial de compromisso em todo o cluster, ressalta a importância de mecanismos de validação robustos em arquiteturas de segurança de vários inquilinos.
As equipes de segurança devem revisar suas implantações atuais de cápsulas e implementar o monitoramento apropriado para detectar possíveis tentativas de exploração.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!