Vulnerabilidad en Omni Wireguard SideroLink (CVE-2025-59824)

Gravedad CVSS v4.0:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

24/09/2025

Última modificación:

26/09/2025

Descripción

Omni gestiona Kubernetes en hardware dedicado (bare metal), máquinas virtuales o en la nube. Antes de la versión 0.48.0, Omni Wireguard SideroLink tiene el potencial de escapar. Omni y cada máquina Talos establecen una conexión SideroLink de punto a punto (P2P) utilizando WireGuard para autenticar y autorizar el acceso mutuamente. La interfaz WireGuard en Omni está configurada para asegurar que la dirección IP de origen de un paquete entrante coincida con la dirección IPv6 asignada al par Talos. Sin embargo, no realiza ninguna validación en la dirección de destino del paquete. El extremo Talos de la conexión SideroLink no puede considerarse un entorno de confianza. Las cargas de trabajo que se ejecutan en Kubernetes, especialmente aquellas configuradas con redes de host (host networking), podrían obtener acceso directo a este enlace. Por lo tanto, una carga de trabajo maliciosa podría, en teoría, enviar paquetes arbitrarios a través de la interfaz SideroLink. Este problema ha sido parcheado en la versión 0.48.0.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 0.50 BAJA
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N/E:U

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Bajo
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): Unreported

Puntuación base 4.0

0.50

Gravedad 4.0

BAJA

Vulnerabilidad en Omni Wireguard SideroLink (CVE-2025-59824)

Descripción

Impacto

Referencias a soluciones, herramientas e información