CVE-2025-24375

Nome do Software Vulnerável e Versões Afetadas: Versões do operador Charmed MySQL K8s anteriores à revisão 221 Versões do operador Charmed MySQL machine anteriores à revisão 338

Descrição: O operador Charmed MySQL K8s possui um método para chamar scripts DDL SQL ou scripts mysql-shell baseados em Python que podem vazar credenciais de usuário do banco de dados. Isso ocorre porque o método usado pelo mysql-operator para chamar a aplicação mysql-shell depende da escrita em um arquivo de script temporário contendo a URI completa, incluindo usuário e senha. O arquivo é criado com permissões de leitura, permitindo que um usuário não privilegiado o leia durante a execução do operador. Além disso, ao criar usuários do operador, o DDL contém credenciais de usuário, que podem ser vazadas através do mesmo mecanismo de arquivo temporário.

Recomendações: Para versões do operador Charmed MySQL K8s anteriores à revisão 221, atualize para a revisão 221 ou posterior para resolver o problema. Para versões do operador Charmed MySQL machine anteriores à revisão 338, atualize para a revisão 338 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos arquivos de script temporários criados pelo mysql-operator para minimizar o risco de exposição de credenciais.