CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-12548

Critical
Published: Translated: NVD NIST

Summary

W Eclipse Che che-machine-exec znaleziono lukę, która umożliwia nieautoryzowane zdalne wykonywanie dowolnych poleceń oraz wyciek sekretów (kluczy SSH, tokenów itp.) z kontenerów Developer Workspace innych użytkowników. Luka ta jest dostępna poprzez nieautoryzowane API JSON-RPC / websocket na porcie TCP 3333.

Risk Assessment

Organizacja jest narażona na poważne ryzyko związane z nieautoryzowanym dostępem do wrażliwych danych oraz możliwością zdalnego wykonywania poleceń, co może prowadzić do kompromitacji systemów.

Recommendation

Zaleca się natychmiastowe zablokowanie dostępu do portu TCP 3333 oraz wdrożenie odpowiednich mechanizmów uwierzytelniania dla API, aby zminimalizować ryzyko związane z tą podatnością.

Original NVD description (English source)

A flaw was found in Eclipse Che che-machine-exec. This vulnerability allows unauthenticated remote arbitrary command execution and secret exfiltration (SSH keys, tokens, etc.) from other users' Developer Workspace containers, via an unauthenticated JSON-RPC / websocket API exposed on TCP port 3333.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS