CVE-2025-8077
KrytyczneStreszczenie
W wersjach NeuVector do 5.4.5 istnieje podatność, w której stały ciąg jest używany jako domyślne hasło dla wbudowanego konta `admin`. Jeśli to hasło nie zostanie zmienione natychmiast po wdrożeniu, każdy workload z dostępem do sieci w klastrze może wykorzystać domyślne dane uwierzytelniające do uzyskania tokena uwierzytelniającego.
Ocena ryzyka
Użycie domyślnego hasła stwarza ryzyko, że nieautoryzowane podmioty mogą uzyskać dostęp do API NeuVector i przeprowadzać operacje w klastrze. To może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się natychmiastową zmianę domyślnego hasła dla konta `admin` po wdrożeniu NeuVector, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
A vulnerability exists in NeuVector versions up to and including 5.4.5, where a fixed string is used as the default password for the built-in `admin` account. If this password is not changed immediately after deployment, any workload with network access within the cluster could use the default credentials to obtain an authentication token. This token can then be used to perform any operation via NeuVector APIs.

