Vulnerabilidad en Volcano (CVE-2025-32777)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/04/2025
Última modificación:
02/05/2025
Descripción
Volcano es un sistema de programación por lotes nativo de Kubernetes. En versiones anteriores a las 1.11.2, 1.10.2, 1.9.1, 1.11.0-network-topology-preview.3 y 1.12.0-alpha.2, si un atacante vulneraba el servicio Elastic o el complemento de extensión, podía provocar una denegación de servicio del programador. Esto supone una escalada de privilegios, ya que los usuarios de Volcano pueden ejecutar su servicio Elastic y los complementos de extensión en pods o nodos separados del programador. En el modelo de seguridad de Kubernetes, el aislamiento de nodos es un límite de seguridad y, por lo tanto, un atacante puede cruzarlo en el caso de Volcano si ha comprometido los servicios vulnerables o el pod/nodo en el que están implementados. El programador dejará de estar disponible para otros usuarios y cargas de trabajo del clúster. El programador se bloqueará con un pánico de OOM irrecuperable o se congelará consumiendo cantidades excesivas de memoria. Este problema se ha solucionado en las versiones 1.11.2, 1.10.2, 1.9.1, 1.11.0-network-topology-preview.3 y 1.12.0-alpha.2.
Impacto
Puntuación base 4.0
8.20
Gravedad 4.0
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/volcano-sh/volcano/releases/tag/v1.10.2
- https://github.com/volcano-sh/volcano/releases/tag/v1.11.0-network-topology-preview.3
- https://github.com/volcano-sh/volcano/releases/tag/v1.11.2
- https://github.com/volcano-sh/volcano/releases/tag/v1.12.0-alpha.2
- https://github.com/volcano-sh/volcano/releases/tag/v1.9.1
- https://github.com/volcano-sh/volcano/security/advisories/GHSA-hg79-fw4p-25p8