PT-2025-28768 · Helm+2 · Helm+2

Jake-Ciolek

·

Publicado

2025-07-08

·

Atualizado

2026-04-01

·

CVE-2025-53547

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas: Versões do Helm anteriores à 3.18.4
Descrição: Um arquivo Chart.yaml especialmente criado, juntamente com um arquivo Chart.lock vinculado especificamente, pode levar à execução local de código quando as dependências são atualizadas. Campos em um arquivo Chart.yaml podem ser manipulados para causar execução caso o conteúdo esteja em um arquivo que é executado, como um arquivo bash.rc ou script shell. Se o arquivo Chart.lock for um link simbólico para um desses arquivos, a atualização das dependências escreverá o conteúdo do arquivo lock no arquivo vinculado, levando à execução indesejada. Este problema ocorre quando as dependências são atualizadas, por exemplo, ao executar helm dependency update.
Recomendações: Para versões do Helm anteriores à 3.18.4, certifique-se de que o arquivo Chart.lock em um chart não seja um link simbólico antes de atualizar as dependências. Atualize para o Helm v3.18.4 para resolver o problema.

Exploit

Correção

LPE

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94

Identificadores relacionados

AZL-64877
BDU:2025-10843
BIT-HELM-2025-53547
CLEANSTART-2026-BT39952
CLEANSTART-2026-FB05615
CLEANSTART-2026-LB23787
CLEANSTART-2026-MT27167
CLEANSTART-2026-OS42112
CLEANSTART-2026-PE63912
CVE-2025-53547
ECHO-E296-545C-BE59
GHSA-557J-XG8C-Q2MM
GO-2025-3802
OPENSUSE-SU-2025:15331-1
OPENSUSE-SU-2025:15336-1
OPENSUSE-SU-2025:15338-1
OPENSUSE-SU-2025:15341-1
OPENSUSE-SU-2025:15405-1
OPENSUSE-SU-2025:15406-1
OPENSUSE-SU-2025:15779-1
OPENSUSE-SU-2025:20117-1
OPENSUSE-SU-2026:20798-1
SUSE-SU-2025:20516-1
SUSE-SU-2025:20595-1
SUSE-SU-2025:4190-1

Produtos afetados

Helm
Red Os
Suse