В завершении недели Kubernetes преподносит нам ещё одну уязвимость – CVE-2025-4563: Nodes can bypass dynamic resource allocation authorization checks.

При использовании feature gates DynamicResourceAllocation атакующий на скомпрометированной Node может создать mirror pod, чтобы получить доступ к unauthorized dynamic resources, что потенциально может привести к повышению привилегий.

Уязвимости присвоен низкий уровень критичности по CVSS.

Затграгивает версии:

- kube-apiserver: v1.32.0 - v1.32.5
- kube-apiserver: v1.33.0 - 1.33.1

Патчи доступны для:

- kube-apiserver >= v1.32.6
- kube-apiserver >= v1.33.2

В качестве меры митигации предлагается выключить feature gate DynamicResourceAllocation.

k8s (in)security

В завершении недели Kubernetes преподносит нам ещё одну уязвимость – CVE-2025-4563: Nodes can bypass dynamic resource allocation authorization checks.

При использовании feature gates DynamicResourceAllocation атакующий на скомпрометированной Node может создать mirror pod, чтобы получить доступ к unauthorized dynamic resources, что потенциально может привести к повышению привилегий.

Уязвимости присвоен низкий уровень критичности по CVSS.

Затграгивает версии:

- kube-apiserver: v1.32.0 - v1.32.5
- kube-apiserver: v1.33.0 - 1.33.1

Патчи доступны для:

- kube-apiserver >= v1.32.6
- kube-apiserver >= v1.33.2

В качестве меры митигации предлагается выключить feature gate DynamicResourceAllocation.

GitHub

CVE-2025-4563: Nodes can bypass dynamic resource allocation authorization checks · Issue #132151 · kubernetes/kubernetes

CVSS Rating: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L - Low (2.7) A vulnerability exists in the NodeRestriction admission controller where nodes can bypass dynamic resource allocation authoriza...

hottg.com/k8security/1561

4.2K viewsr0binak, edited  Jun 20 at 05:00