CVE-2025-29781 in baremetal-operatorinformazioni

Riassunto

di VulDB • 08/07/2026

L'operatore Bare Metal (BMO) implementa un'API Kubernetes per la gestione degli host bare metal in Metal3. L'operatore Baremetal consente agli utenti di caricare i Secret da namespace arbitrari durante il deployment della Custom Resource `BMCEventSubscription` con ambito a livello di namespace. Prima delle versioni 0.8.1 e 0.9.1, un account Kubernetes avversario dotato esclusivamente di ruoli a livello di namespace (ad esempio, un tenant che controlla un determinato namespace) poteva creare una risorsa `BMCEventSubscription` nel proprio namespace autorizzato e successivamente caricare Secret da namespace non autorizzati verso il proprio namespace autorizzato tramite l'operatore Baremetal, causando la fuoriuscita dei Secret. La patch fa sì che BMO rifiuti di leggere i Secret provenienti da namespace diversi rispetto a quello in cui si trova la corrispondente risorsa BMH. La patch non modifica l'API `BMCEventSubscription` in BMO, ma una convalida più rigorosa farà fallire la richiesta durante la fase di ammissione (admission time). Verrà inoltre impedito al controller di leggere tali Secret nel caso in cui la CR BMCES sia già stata distribuita. Il problema è presente in tutte le versioni di BMO ed è stato risolto nelle release v0.9.1 e v0.8.1. Prima dell'aggiornamento alla versione corretta, duplicare qualsiasi Secret esistente puntato dal campo `httpHeadersRef` della risorsa `BMCEventSubscription` nello stesso namespace in cui esiste la corrispondente BMH. Dopo l'aggiornamento, rimuovere i vecchi Secret. Come soluzione alternativa (workaround), l'operatore può configurare il controllo degli accessi basato sui ruoli (RBAC) di BMO con ambito a livello di namespace invece che a livello di cluster, per impedire a BMO di accedere ai Secret da altri namespace, e/o utilizzare l'opzione di configurazione `WATCH_NAMESPACE` per limitare BMO a un singolo namespace.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

11/03/2025

Divulgazione

18/03/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00169

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!