Vulnerabilidad en Headlamp (CVE-2025-53542)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
10/07/2025
Última modificación:
15/07/2025
Descripción
Headlamp es una interfaz web extensible de Kubernetes. Se descubrió una vulnerabilidad de inyección de comandos en el script codeSign.js utilizado en el flujo de trabajo de empaquetado de macOS del proyecto Headlamp de Kubernetes. Este problema surge debido al uso indebido de la función execSync() de Node.js con entradas no depuradas derivadas de variables de entorno, que pueden ser influenciadas por un atacante. Las variables ${teamID}, ${entitlementsPath} y ${config.app} se derivan dinámicamente de la configuración del entorno o la aplicación y se pasan directamente al comando de shell sin el escape ni la separación de argumentos adecuados. Esto expone el sistema a la inyección de comandos si alguno de los valores contiene información maliciosa. Esta vulnerabilidad se corrigió en la versión 0.31.1.
Impacto
Puntuación base 3.x
7.70
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://advisory.zerodaysec.org/advisory/kubernetes-headlamp-code-signing
- https://github.com/kubernetes-sigs/headlamp/commit/5bc0a9dd87acdf1e04be14619acde687eefa35fb
- https://github.com/kubernetes-sigs/headlamp/pull/3377
- https://github.com/kubernetes-sigs/headlamp/security/advisories/GHSA-34rf-485x-g5h7