PT-2025-11205 · Unknown · Kubernetes
Christophe Hauquiert
·
Publicado
2025-03-13
·
Atualizado
2026-05-18
·
CVE-2025-1767
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:N |
Nome do Software Vulnerável e Versões Afetadas:
Kubernetes (versões afetadas não especificadas)
Descrição:
O problema afeta clusters Kubernetes que utilizam o volume gitRepo "in-tree" para clonar repositórios git de outros pods dentro do mesmo nó. Como o recurso de volume gitRepo "in-tree" foi descontinuado e não receberá atualizações de segurança no upstream, qualquer cluster que ainda utilize este recurso permanece vulnerável. Um usuário com permissão para criar pods pode explorar volumes gitRepo para acessar repositórios git locais pertencentes a outros pods no mesmo nó.
Recomendações:
Para mitigar o problema, use um init container para executar a operação de git clone e, em seguida, monte o diretório no container principal.
Por exemplo, crie um pod com um init container que clona o repositório git e, em seguida, monta o repositório no container principal:
apiVersion: v1
kind: Pod
metadata:
name: git-repo-demo
spec:
initContainers:
- name: git-clone
image: alpine/git
args:
- clone
- --single-branch
- https://github.com/kubernetes/kubernetes
- /repo volumeMounts:
- name: git-repo mountPath: /repo containers:
- name: busybox
image: busybox
args: ['sleep','100000']
volumeMounts:
- name: git-repo mountPath: /repo volumes:
- name: git-repo emptyDir: {} Alternativamente, restrinja o uso do volume gitRepo com políticas como ValidatingAdmissionPolicy ou Padrão de Segurança de Pods Restrito.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kubernetes