CRITICAL🇬🇧 English

CVE-2025-41240

Bitnami Helm Charts: ujawnienie sekretów Kubernetes przez web root

CVSS 10.0v3.1pub. 2025-07-24upd. 2026-04-15

Trzy wykresy Helm firmy Bitnami montują sekrety Kubernetes pod przewidywalną ścieżką znajdującą się wewnątrz katalogu głównego serwera www, co umożliwia nieuwierzytelniony dostęp do poufnych danych uwierzytelniających przez HTTP/S. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją skrajnie krytyczną.

Pokaż oryginał (EN)

Three Bitnami Helm charts mount Kubernetes Secrets under a predictable path (/opt/bitnami/*/secrets) that is located within the web server document root. In affected versions, this can lead to unauthenticated access to sensitive credentials via HTTP/S. A remote attacker could retrieve these secrets by accessing specific URLs if the application is exposed externally. The issue affects deployments using the default value of usePasswordFiles=true, which mounts secrets as files into the container filesystem.

🤖 Analiza AI
Jak działa

Sekrety Kubernetes są montowane jako pliki w kontenerze pod ścieżką /opt/bitnami/*/secrets, która jednocześnie leży w obrębie katalogu document root serwera WWW. Domyślna wartość parametru usePasswordFiles=true powoduje automatyczne montowanie sekretów jako plików w systemie plików kontenera. Zdalny atakujący bez żadnego uwierzytelnienia może uzyskać dostęp do tych plików, wysyłając żądanie HTTP/S pod odpowiedni, przewidywalny adres URL. Warunkiem koniecznym jest zewnętrzna ekspozycja aplikacji.

Skutki

Atakujący może bez uwierzytelnienia pobrać poufne dane uwierzytelniające (np. hasła, tokeny, klucze API) przechowywane jako sekrety Kubernetes, co może prowadzić do pełnego przejęcia kontroli nad aplikacją oraz powiązaną infrastrukturą.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://github.com/bitnami/charts/security/advisories/GHSA-wgg9-9qgw-529w). Do czasu aktualizacji należy rozważyć wyłączenie parametru usePasswordFiles=true lub ograniczenie zewnętrznej ekspozycji aplikacji oraz zablokowanie dostępu do ścieżki /opt/bitnami/*/secrets na poziomie konfiguracji serwera WWW.

Kogo dotyczy

Wdrożenia trzech wykresów Bitnami Helm korzystające z domyślnej wartości parametru usePasswordFiles=true; szczegółowe nazwy wykresów i wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Container
CWE
Referencje