PT-2025-52206 · Headlamp · Headlamp

Publicado

2025-12-17

·

Atualizado

2025-12-26

·

CVE-2025-14269

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do Software Vulnerável e Versões Afetadas Versões do Headlamp anteriores a 0.39.0
Descrição Um problema de configuração com config.enableHelm: true na interface de usuário do Headlamp para gerenciamento de clusters Kubernetes resulta em divulgação de informações através de cache ao processar o diretório /clusters/main/helm/releases/list. A exploração pode permitir que um atacante remoto obtenha acesso não autorizado a informações protegidas ao enviar uma requisição especialmente elaborada. O problema envolve cache de credenciais e pode impactar clusters Kubernetes privados caso o Headlamp esteja em execução no cluster com o Helm habilitado e um usuário autorizado tenha acessado o Helm anteriormente. Usuários não autenticados podem conseguir acessar o Helm. O acesso de rede à interface de usuário do Headlamp é necessário para a exploração, a qual envolve credenciais em cache via endpoints do Helm, potencialmente requerendo interação do usuário.
Recomendações Atualize para a versão 0.39.0 ou posterior do Headlamp. Evite a exposição pública do Headlamp via ingress.

Exploit

Correção

Information Disclosure

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2025-16348
CVE-2025-14269

Produtos afetados

Headlamp