CRITICAL🇬🇧 English

CVE-2025-8077

NeuVector: domyślne hasło konta admin umożliwia pełny dostęp do API

CVSS 9.8v3.1pub. 2025-09-17upd. 2026-04-15

W NeuVector do wersji 5.4.5 włącznie wbudowane konto administratora posiada stałe, domyślne hasło, które nie jest zmieniane automatycznie po wdrożeniu. Każdy workload z dostępem sieciowym wewnątrz klastra może wykorzystać te domyślne dane uwierzytelniające do uzyskania tokenu autoryzacyjnego i wykonania dowolnych operacji przez NeuVector API.

Pokaż oryginał (EN)

A vulnerability exists in NeuVector versions up to and including 5.4.5, where a fixed string is used as the default password for the built-in `admin` account. If this password is not changed immediately after deployment, any workload with network access within the cluster could use the default credentials to obtain an authentication token. This token can then be used to perform any operation via NeuVector APIs.

🤖 Analiza AI
Jak działa

NeuVector stosuje stały ciąg znaków jako domyślne hasło dla wbudowanego konta `admin`. Jeśli administrator nie zmieni tego hasła bezpośrednio po wdrożeniu, atakujący lub złośliwy workload z dostępem sieciowym do klastra może zalogować się przy użyciu znanych, domyślnych danych uwierzytelniających. Po pomyślnym uwierzytelnieniu uzyskiwany jest token sesji, który zapewnia pełny dostęp do wszystkich operacji eksponowanych przez NeuVector API bez żadnych dodatkowych ograniczeń.

Skutki

Atakujący uzyskuje pełne uprawnienia administracyjne w NeuVector, co umożliwia mu odczyt, modyfikację i usunięcie konfiguracji bezpieczeństwa klastra, a także manipulację politykami sieciowymi i mechanizmami ochrony workloadów — prowadząc do całkowitego naruszenia poufności, integralności i dostępności środowiska.

Mitygacja

Należy niezwłocznie zmienić domyślne hasło konta `admin` po każdym wdrożeniu NeuVector. Należy zastosować patche dostępne u producenta zgodnie z referencjami (GHSA-8pxw-9c75-6w56 oraz SUSE Bugzilla CVE-2025-8077). Zaleca się również ograniczenie dostępu sieciowego do API NeuVector wyłącznie do zaufanych workloadów i administratorów.

Kogo dotyczy

NeuVector w wersjach do 5.4.5 włącznie

Uwagi

Podatność sklasyfikowana jako CWE-1393 (Use of Default Password). Wektor ataku sieciowy bez wymaganych uprawnień i interakcji użytkownika (AV:N/AC:L/PR:N/UI:N) przy CVSS 9.8 wskazuje na bardzo niski próg eksploatacji w środowiskach, gdzie hasło nie zostało zmienione.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje