W NeuVector do wersji 5.4.5 włącznie wbudowane konto administratora posiada stałe, domyślne hasło, które nie jest zmieniane automatycznie po wdrożeniu. Każdy workload z dostępem sieciowym wewnątrz klastra może wykorzystać te domyślne dane uwierzytelniające do uzyskania tokenu autoryzacyjnego i wykonania dowolnych operacji przez NeuVector API.
▸ Pokaż oryginał (EN)
A vulnerability exists in NeuVector versions up to and including 5.4.5, where a fixed string is used as the default password for the built-in `admin` account. If this password is not changed immediately after deployment, any workload with network access within the cluster could use the default credentials to obtain an authentication token. This token can then be used to perform any operation via NeuVector APIs.
NeuVector stosuje stały ciąg znaków jako domyślne hasło dla wbudowanego konta `admin`. Jeśli administrator nie zmieni tego hasła bezpośrednio po wdrożeniu, atakujący lub złośliwy workload z dostępem sieciowym do klastra może zalogować się przy użyciu znanych, domyślnych danych uwierzytelniających. Po pomyślnym uwierzytelnieniu uzyskiwany jest token sesji, który zapewnia pełny dostęp do wszystkich operacji eksponowanych przez NeuVector API bez żadnych dodatkowych ograniczeń.
Atakujący uzyskuje pełne uprawnienia administracyjne w NeuVector, co umożliwia mu odczyt, modyfikację i usunięcie konfiguracji bezpieczeństwa klastra, a także manipulację politykami sieciowymi i mechanizmami ochrony workloadów — prowadząc do całkowitego naruszenia poufności, integralności i dostępności środowiska.
Należy niezwłocznie zmienić domyślne hasło konta `admin` po każdym wdrożeniu NeuVector. Należy zastosować patche dostępne u producenta zgodnie z referencjami (GHSA-8pxw-9c75-6w56 oraz SUSE Bugzilla CVE-2025-8077). Zaleca się również ograniczenie dostępu sieciowego do API NeuVector wyłącznie do zaufanych workloadów i administratorów.
NeuVector w wersjach do 5.4.5 włącznie
Podatność sklasyfikowana jako CWE-1393 (Use of Default Password). Wektor ataku sieciowy bez wymaganych uprawnień i interakcji użytkownika (AV:N/AC:L/PR:N/UI:N) przy CVSS 9.8 wskazuje na bardzo niski próg eksploatacji w środowiskach, gdzie hasło nie zostało zmienione.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H