Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-08913

Опубликовано: 22 июл. 2025
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость программного средства для создания образов контейнеров Kubernetes Image Builder связана с использованием жестко закодированных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к виртуальной машине

Вендор

Google Inc

Наименование ПО

Kubernetes Image Builder

Версия ПО

до 0.1.45 (Kubernetes Image Builder)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- выполнение пересборки образов контейнеров, которые были сформированы с использованием уязвимых версий ПО;
- задание значения переменной admin_password;
- изменение пароля учётной записи администратора на затронутых виртуальных машинах:
net user Administrator <new-password>
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к виртуальной машине;
- ограничение доступа к виртуальной машине из внешних сетей (Интернет).
Использование рекомендаций:
https://discuss.kubernetes.io/t/security-advisory-cve-2025-7342-vm-images-built-with-kubernetes-image-builder-nutanix-or-ova-providers-use-default-credentials-for-windows-images-if-user-did-not-override/32778
https://github.com/kubernetes/kubernetes/issues/133115

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 10%
0.00038
Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-7342

CVSS3: 7.5
nvd
4 дня назад

A security issue was discovered in the Kubernetes Image Builder where default credentials are enabled during the Windows image build process when using the Nutanix or VMware OVA providers. These credentials, which allow root access, are disabled at the conclusion of the build. Kubernetes clusters are only affected if their nodes use VM images created via the Image Builder project and the vulnerability was exploited during the build process, which requires an attacker to access the build VM and modify the image while the build is in progress.

github логотип

GHSA-4cww-rww7-fw7q

CVSS3: 7.5
github
4 дня назад

A security issue was discovered in the Kubernetes Image Builder where default credentials are enabled during the image build process. Additionally, virtual machine images built using the Nutanix or the OVA provider do not disable these default credentials, and nodes using the resulting images may be accessible via these default credentials. The credentials can be used to gain root access. Kubernetes clusters are only affected if their Windows nodes use VM images created via the Image Builder project with its Nutanix or OVA provider.

EPSS

Процентиль: 10%
0.00038
Низкий

8.1 High

CVSS3

7.6 High

CVSS2