PT-2025-11542 · Buildkit+4 · Buildkit+4
Publicado
2025-03-17
·
Atualizado
2025-07-17
·
CVE-2025-0495
CVSS v4.0
4.1
Média
| Vetor | AV:L/AC:L/AT:N/PR:L/UI:P/VC:L/VI:N/VA:N/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Versões do Buildx (versões afetadas não especificadas)
Descrição
O problema diz respeito ao plugin CLI do Docker Buildx, que estende as capacidades de build utilizando o BuildKit. Os backends de cache suportam credenciais definindo segredos diretamente como valores de atributo na configuração cache-to/cache-from. No entanto, quando fornecidos como entrada do usuário, esses valores confidenciais podem ser inadvertidamente capturados em traços OpenTelemetry como parte dos argumentos e flags do comando CLI rastreado. Os traços OpenTelemetry também são salvos nos registros de histórico do daemon do BuildKit. Isso não impacta segredos passados ao backend de cache do GitHub via variáveis de ambiente ou autenticação no registry.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Buildkit
Buildx
Opentelemetry
Red Os
Suse