GHSA-r6j8-c6r2-37rr

Опубликовано: 15 дек. 2025

Источник: github

Github: Прошло ревью

CVSS3: 5.8

Описание

kube-controller-manager is vulnerable to half-blind Server Side Request Forgery through in-tree Portworx StorageClass

A half-blind Server Side Request Forgery (SSRF) vulnerability exists in kube-controller-manager when using the in-tree Portworx StorageClass. This vulnerability allows authorized users to leak arbitrary information from unprotected endpoints in the control plane’s host network (including link-local or loopback services).

Ссылки

Пакеты

Наименование

k8s.io/kubernetes

Затронутые версииВерсия исправления

< 1.32.10

1.32.10

Наименование

k8s.io/kubernetes

Затронутые версииВерсия исправления

>= 1.33.0-alpha.0, < 1.33.6

1.33.6

Наименование

k8s.io/kubernetes

Затронутые версииВерсия исправления

>= 1.34.0-alpha.0, < 1.34.2

1.34.2

EPSS

Процентиль: 1%

0.00012

Низкий

5.8 Medium

CVSS3

CVE ID

CVE-2025-13281

Дефекты

CWE-918

Связанные уязвимости

CVE-2025-13281

CVSS3: 5.8

ubuntu

около 2 месяцев назад

CVE-2025-13281

CVSS3: 5.8

nvd

около 2 месяцев назад

CVE-2025-13281

CVSS3: 5.8

msrc

около 1 месяца назад

Portworx Half-Blind SSRF in kube-controller-manager

CVE-2025-13281

CVSS3: 5.8

debian

около 2 месяцев назад

A half-blind Server Side Request Forgery (SSRF) vulnerability exists i ...

EPSS

Процентиль: 1%

0.00012

Низкий

5.8 Medium

CVSS3

CVE ID

CVE-2025-13281

Дефекты

CWE-918