CRITICAL🇬🇧 English

CVE-2025-47284

Eskalacja uprawnień w Gardener — przejęcie kontroli nad seed cluster

CVSS 9.9v3.1pub. 2025-05-19upd. 2025-09-04

Podatność w komponencie `gardenlet` projektu Gardener umożliwia użytkownikowi z uprawnieniami administracyjnymi projektu Gardener przejęcie kontroli nad seed cluster(s), w których zarządzane są jego shoot clusters. Luka posiada ocenę CVSS 9.9 (CRITICAL) i dotyczy instalacji korzystających z rozszerzenia gardener/gardener-extension-provider-gcp.

Pokaż oryginał (EN)

Gardener implements the automated management and operation of Kubernetes clusters as a service. A security vulnerability was discovered in the `gardenlet` component of Gardener prior to versions 1.116.4, 1.117.5, 1.118.2, and 1.119.0. It could allow a user with administrative privileges for a Gardener project to obtain control over the seed cluster(s) where their shoot clusters are managed. This CVE affects all Gardener installations where gardener/gardener-extension-provider-gcp is in use. Versions 1.116.4, 1.117.5, 1.118.2, and 1.119.0 fix the issue.

🤖 Analiza AI
Jak działa

Podatność (CWE-150 — Improper Neutralization of Escape, Meta, or Control Sequences) obecna jest w komponencie `gardenlet`, odpowiedzialnym za zarządzanie cyklem życia klastrów Kubernetes. Użytkownik posiadający uprawnienia administracyjne w ramach projektu Gardener może za jej pomocą wykroczyć poza przyznany mu zakres dostępu. W efekcie atakujący jest w stanie uzyskać kontrolę nad seed cluster — infrastrukturą nadrzędną, która zarządza shoot clusters należącymi do jego projektu. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani szczególnie wysokich uprawnień wyjściowych (wystarczają uprawnienia projektowe).

Skutki

Atakujący może przejąć pełną kontrolę nad seed cluster, co w praktyce oznacza możliwość naruszenia poufności, integralności i dostępności wszystkich zarządzanych przez niego klastrów Kubernetes oraz potencjalnie innych zasobów współdzielonej infrastruktury.

Mitygacja

Należy zaktualizować komponent `gardenlet` do wersji 1.116.4, 1.117.5, 1.118.2 lub 1.119.0 (w zależności od używanej gałęzi), w których producent usunął opisaną podatność. Szczegółowe informacje dostępne są w oficjalnym security advisory na GitHub: https://github.com/gardener/gardener/security/advisories/GHSA-9x73-87fh-54w9

Kogo dotyczy

Wszystkie instalacje Gardener korzystające z rozszerzenia gardener/gardener-extension-provider-gcp, w których komponent `gardenlet` działa w wersjach wcześniejszych niż 1.116.4, 1.117.5, 1.118.2 oraz 1.119.0.

Uwagi

Podatność dotyczy wyłącznie instalacji używających rozszerzenia gardener/gardener-extension-provider-gcp. Instalacje Gardener bez tego rozszerzenia mogą nie być podatne — należy zweryfikować zgodnie z advisory producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Gardener

    APP
    Gardener
    < 1.116.41.117.0 – 1.117.5 (bez)1.118.0 – 1.118.2 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Container
CWE
Referencje

Powiązane podatności

CVE-2025-47283CRITICAL9.9PL ✓ten sam produkt

Eskalacja uprawnień w Gardener — przejęcie kontroli nad seed cluster

CVE-2019-12494HIGH8.5ten sam produkt

In Gardener before 0.20.0, incorrect access control in seed clusters allows information disclosure by sending ...

CVE-2018-2475HIGH8.5ten sam produkt

Following the Gardener architecture, the Kubernetes apiserver of a Gardener managed shoot cluster resides in t...