Vulnerabilidad en Helm (CVE-2025-53547)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

08/07/2025

Última modificación:

03/09/2025

Descripción

Helm es un gestor de paquetes para Charts para Kubernetes. Antes de la versión 3.18.4, un archivo Chart.yaml especialmente manipulado, junto con un archivo Chart.lock con un enlace específico, podía provocar la ejecución de código local al actualizar las dependencias. Los campos de un archivo Chart.yaml que se transfieren a un archivo Chart.lock al actualizar las dependencias y escribirse en este archivo, pueden modificarse de forma que provoquen la ejecución si ese mismo contenido estuviera en un archivo en ejecución (por ejemplo, un archivo bash.rc o un script de shell). Si el archivo Chart.lock tiene un enlace simbólico a uno de estos archivos, al actualizar las dependencias, el contenido del archivo bloqueado se escribirá en el archivo enlazado. Esto puede provocar una ejecución no deseada. Helm advierte del archivo enlazado, pero no detiene la ejecución debido al enlace simbólico. Este problema se ha resuelto en Helm v3.18.4.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.50 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto