安全研究
安全漏洞
External Secrets访问控制错误漏洞(CVE-2025-55196)
发布日期:2025-08-13
更新日期:2026-01-19
受影响系统:External Secrets External Secrets Operator >= 0.15.0 < 0.19.2
描述:
CVE(CAN) ID:
CVE-2025-55196
External Secrets是External Secrets开源的一个Kubernetes相关应用程序。
External Secrets 0.15.0至0.19.2之前版本存在访问控制错误漏洞,攻击者可利用该漏洞通过标签选择器绕过预期的命名空间限制,列出并读取集群中的secrets/secret-stores,如果攻击者具有创建或更新PushSecret资源权限和控制SecretStore配置权限,则可获取任意命名空间的敏感数据。
<**>
建议:
厂商补丁:
External Secrets
----------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://github.com/external-secrets/external-secrets/commit/de40e8f4fa9559c1d770bb674589b285da5ef2d1浏览次数:77
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
