CVE-2025-12548
CriticalSummary
W Eclipse Che che-machine-exec znaleziono lukę, która umożliwia nieautoryzowane zdalne wykonywanie dowolnych poleceń oraz wyciek sekretów (kluczy SSH, tokenów itp.) z kontenerów Developer Workspace innych użytkowników. Luka ta jest dostępna poprzez nieautoryzowane API JSON-RPC / websocket na porcie TCP 3333.
Risk Assessment
Organizacja jest narażona na poważne ryzyko związane z nieautoryzowanym dostępem do wrażliwych danych oraz możliwością zdalnego wykonywania poleceń, co może prowadzić do kompromitacji systemów.
Recommendation
Zaleca się natychmiastowe zablokowanie dostępu do portu TCP 3333 oraz wdrożenie odpowiednich mechanizmów uwierzytelniania dla API, aby zminimalizować ryzyko związane z tą podatnością.
Original NVD description (English source)
A flaw was found in Eclipse Che che-machine-exec. This vulnerability allows unauthenticated remote arbitrary command execution and secret exfiltration (SSH keys, tokens, etc.) from other users' Developer Workspace containers, via an unauthenticated JSON-RPC / websocket API exposed on TCP port 3333.

