Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-10843

Опубликовано: 08 июл. 2025
Источник: fstec
CVSS3: 8.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость пакетного менеджера для Kubernetes Helm связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально созданного файла

Вендор

Novell Inc.
ООО «Ред Софт»
Red Hat Inc.
The Linux Foundation

Наименование ПО

openSUSE Tumbleweed
РЕД ОС
multicluster engine for Kubernetes
OpenSUSE Leap
Migration Toolkit for Applications
SUSE Package Hub
Helm
SUSE Linux Micro

Версия ПО

- (openSUSE Tumbleweed)
7.3 (РЕД ОС)
- (multicluster engine for Kubernetes)
15.6 (OpenSUSE Leap)
7 (Migration Toolkit for Applications)
15 SP6 (SUSE Package Hub)
до 3.18.3 включительно (Helm)
6.0 (SUSE Linux Micro)
6.1 (SUSE Linux Micro)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -
ООО «Ред Софт» РЕД ОС 7.3
Novell Inc. OpenSUSE Leap 15.6
Novell Inc. SUSE Linux Micro 6.0
Novell Inc. SUSE Linux Micro 6.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций производителя:
Для Helm:
https://github.com/helm/helm/security/advisories/GHSA-557j-xg8c-q2mm
https://github.com/helm/helm/commit/4b8e61093d8f579f1165cdc6bd4b43fa5455f571
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-53547
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-53547.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 1%
0.00009
Низкий

8.5 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2025-53547

CVSS3: 8.5
redhat
4 месяца назад

Helm is a package manager for Charts for Kubernetes. Prior to 3.18.4, a specially crafted Chart.yaml file along with a specially linked Chart.lock file can lead to local code execution when dependencies are updated. Fields in a Chart.yaml file, that are carried over to a Chart.lock file when dependencies are updated and this file is written, can be crafted in a way that can cause execution if that same content were in a file that is executed (e.g., a bash.rc file or shell script). If the Chart.lock file is symlinked to one of these files updating dependencies will write the lock file content to the symlinked file. This can lead to unwanted execution. Helm warns of the symlinked file but did not stop execution due to symlinking. This issue has been resolved in Helm v3.18.4.

nvd логотип

CVE-2025-53547

CVSS3: 8.5
nvd
4 месяца назад

Helm is a package manager for Charts for Kubernetes. Prior to 3.18.4, a specially crafted Chart.yaml file along with a specially linked Chart.lock file can lead to local code execution when dependencies are updated. Fields in a Chart.yaml file, that are carried over to a Chart.lock file when dependencies are updated and this file is written, can be crafted in a way that can cause execution if that same content were in a file that is executed (e.g., a bash.rc file or shell script). If the Chart.lock file is symlinked to one of these files updating dependencies will write the lock file content to the symlinked file. This can lead to unwanted execution. Helm warns of the symlinked file but did not stop execution due to symlinking. This issue has been resolved in Helm v3.18.4.

msrc логотип

CVE-2025-53547

CVSS3: 8.5
msrc
4 месяца назад

Helm Chart Dependency Updating With Malicious Chart.yaml Content And Symlink Can Lead To Code Execution

debian логотип

CVE-2025-53547

CVSS3: 8.5
debian
4 месяца назад

Helm is a package manager for Charts for Kubernetes. Prior to 3.18.4, ...

redos логотип

ROS-20250822-15

CVSS3: 8.5
redos
3 месяца назад

Уязвимость helm

EPSS

Процентиль: 1%
0.00009
Низкий

8.5 High

CVSS3

6.8 Medium

CVSS2