CVE-2025-54470

Nome do Software Vulnerável e Versões Afetadas Versões do NeuVector anteriores a 5.4.7

Descrição As implantações do NeuVector são afetadas quando a opção Report anonymous cluster data está habilitada. Sem a verificação do certificado TLS, o canal de comunicação com o servidor de telemetria em https://upgrades.neuvector-upgrade-responder.livestock.rancher.io está suscetível a ataques man-in-the-middle (MITM), permitindo potencialmente que um atacante intercepte ou modifique dados. Além disso, o NeuVector carrega a resposta do servidor de telemetria na memória sem uma limitação de tamanho, criando um potencial vetor de ataque de Negação de Serviço (DoS). A cadeia de certificados TLS e o hostname do servidor de telemetria não são verificados durante o processo de handshake.

Recomendações As versões anteriores a 5.4.7 devem ser atualizadas para a versão 5.4.7 ou posterior. Como solução temporária, desabilite a opção Report anonymous cluster data na interface do usuário (UI) do NeuVector em Settings -> Configuration -> Report anonymous cluster data.