PT-2025-52206 · Headlamp · Headlamp
Publicado
2025-12-17
·
Atualizado
2025-12-26
·
CVE-2025-14269
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
Versões do Headlamp anteriores a 0.39.0
Descrição
Um problema de configuração com
config.enableHelm: true na interface de usuário do Headlamp para gerenciamento de clusters Kubernetes resulta em divulgação de informações através de cache ao processar o diretório /clusters/main/helm/releases/list. A exploração pode permitir que um atacante remoto obtenha acesso não autorizado a informações protegidas ao enviar uma requisição especialmente elaborada. O problema envolve cache de credenciais e pode impactar clusters Kubernetes privados caso o Headlamp esteja em execução no cluster com o Helm habilitado e um usuário autorizado tenha acessado o Helm anteriormente. Usuários não autenticados podem conseguir acessar o Helm. O acesso de rede à interface de usuário do Headlamp é necessário para a exploração, a qual envolve credenciais em cache via endpoints do Helm, potencialmente requerendo interação do usuário.Recomendações
Atualize para a versão 0.39.0 ou posterior do Headlamp.
Evite a exposição pública do Headlamp via ingress.
Exploit
Correção
Information Disclosure
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Headlamp