CVE-2025-13888
KrytyczneStreszczenie
W OpenShift GitOps znaleziono lukę, która pozwala administratorom przestrzeni nazw na tworzenie niestandardowych zasobów ArgoCD, co może prowadzić do przyznania podwyższonych uprawnień w innych przestrzeniach nazw, w tym w przestrzeniach uprzywilejowanych. Uwierzytelniony atakujący może wykorzystać te uprawnienia do tworzenia uprzywilejowanych obciążeń działających na węzłach głównych, co skutkuje dostępem root do całego klastra.
Ocena ryzyka
Luka ta stwarza poważne ryzyko dla bezpieczeństwa klastra, umożliwiając atakującym uzyskanie pełnej kontroli nad jego zasobami. Potencjalne skutki obejmują nieautoryzowany dostęp do danych oraz możliwość wprowadzenia złośliwego oprogramowania.
Rekomendacja
Zaleca się ograniczenie uprawnień administratorów przestrzeni nazw oraz monitorowanie i audytowanie tworzenia niestandardowych zasobów ArgoCD. Należy również rozważyć aktualizację do najnowszej wersji OpenShift GitOps, aby załatać tę lukę.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in OpenShift GitOps. Namespace admins can create ArgoCD Custom Resources (CRs) that trick the system into granting them elevated permissions in other namespaces, including privileged namespaces. An authenticated attacker can then use these elevated permissions to create privileged workloads that run on master nodes, effectively giving them root access to the entire cluster.

