CRITICAL🇬🇧 English

CVE-2025-47283

Eskalacja uprawnień w Gardener — przejęcie kontroli nad seed cluster

CVSS 9.9v3.1pub. 2025-05-19upd. 2026-02-06

Podatność w komponencie `gardenlet` projektu Gardener umożliwia użytkownikowi z uprawnieniami administratora projektu Gardener przejęcie kontroli nad seed cluster(ami), w których zarządzane są jego shoot clusters. Zagrożenie ma ocenę CVSS 9.9 i dotyczy wszystkich instalacji Gardener niezależnie od dostawcy chmury publicznej.

Pokaż oryginał (EN)

Gardener implements the automated management and operation of Kubernetes clusters as a service. A security vulnerability was discovered in Gardener prior to versions 1.116.4, 1.117.5, 1.118.2, and 1.119.0 that could allow a user with administrative privileges for a Gardener project to obtain control over the seed cluster(s) where their shoot clusters are managed. This CVE affects all Gardener installations no matter of the public cloud provider(s) used for the seed clusters/shoot clusters. `gardener/gardener` (`gardenlet`) is the affected component. Versions 1.116.4, 1.117.5, 1.118.2, and 1.119.0 fix the issue.

🤖 Analiza AI
Jak działa

Błąd nieprawidłowej walidacji danych wejściowych (CWE-20) w komponencie `gardenlet` pozwala uprzywilejowanemu użytkownikowi projektu Gardener na wykonanie działań wykraczających poza jego normalny zakres uprawnień. W wyniku wykorzystania podatności atakujący może wyjść poza granice swojego projektu i uzyskać nieuprawniony dostęp do infrastruktury seed cluster, która obsługuje wielu użytkowników i wiele shoot clusters. Atak nie wymaga interakcji po stronie ofiary ani szczególnych warunków sieciowych — wystarczy posiadanie uprawnień administracyjnych w obrębie projektu Gardener.

Skutki

Atakujący może przejąć pełną kontrolę nad seed cluster(ami), co prowadzi do naruszenia poufności, integralności i dostępności zarówno infrastruktury seed, jak i wszystkich zarządzanych przez nią shoot clusters innych użytkowników.

Mitygacja

Należy niezwłocznie zaktualizować Gardener do wersji 1.116.4, 1.117.5, 1.118.2 lub 1.119.0 (w zależności od używanej gałęzi). Poprawki zostały wprowadzone w wyżej wymienionych wersjach przez producentów projektu. Szczegóły dostępne w security advisory GHSA-3hw7-qj9h-r835.

Kogo dotyczy

Wszystkie instalacje Gardener (`gardener/gardener`, komponent `gardenlet`) w wersjach wcześniejszych niż 1.116.4, 1.117.5, 1.118.2 oraz 1.119.0, niezależnie od używanego dostawcy chmury publicznej.

Uwagi

Podatność dotyczy wyłącznie użytkowników posiadających uprawnienia administracyjne w projekcie Gardener — zwykli użytkownicy bez takich uprawnień nie są bezpośrednim wektorem ataku. Mimo to ryzyko jest krytyczne ze względu na możliwość ruchu lateralnego na poziomie infrastruktury seed cluster obsługującej wielu klientów.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Gardener

    APP
    Gardener
    < 1.116.41.117.0 – 1.117.5 (bez)1.118.0 – 1.118.2 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Container
CWE
Referencje

Powiązane podatności

CVE-2025-47284CRITICAL9.9PL ✓ten sam produkt

Eskalacja uprawnień w Gardener — przejęcie kontroli nad seed cluster

CVE-2019-12494HIGH8.5ten sam produkt

In Gardener before 0.20.0, incorrect access control in seed clusters allows information disclosure by sending ...

CVE-2018-2475HIGH8.5ten sam produkt

Following the Gardener architecture, the Kubernetes apiserver of a Gardener managed shoot cluster resides in t...