CRITICAL🇬🇧 English

CVE-2025-62877

SUSE Harvester: ujawnienie domyślnego hasła SSH przez interaktywny instalator

CVSS 9.8v3.1pub. 2026-01-08upd. 2026-04-15

Podatność w interaktywnym instalatorze SUSE Virtualization (Harvester) w wersjach 1.5.x oraz 1.6.x może prowadzić do ujawnienia domyślnego hasła logowania SSH systemu operacyjnego. Jest to krytyczny problem, ponieważ nieuwierzytelniony atakujący sieciowy może potencjalnie uzyskać dostęp do węzłów klastra.

Pokaż oryginał (EN)

Projects using the SUSE Virtualization (Harvester) environment may expose the OS default ssh login password  if they are using the 1.5.x or 1.6.x interactive installer to either create a new cluster or add new hosts to an existing cluster. The environment is not affected if the PXE boot mechanism is utilized along with the Harvester configuration setup.

🤖 Analiza AI
Jak działa

Podatność (CWE-1188 — inicjalizacja zasobu z niebezpieczną wartością domyślną) występuje podczas korzystania z interaktywnego instalatora w wersjach 1.5.x i 1.6.x, zarówno przy tworzeniu nowego klastra, jak i przy dodawaniu nowych hostów do istniejącego klastra. W trakcie tego procesu domyślne hasło SSH systemu operacyjnego może zostać ujawnione. Środowisko nie jest podatne, jeżeli do uruchamiania systemu wykorzystywany jest mechanizm PXE boot w połączeniu z konfiguracją Harvester.

Skutki

Atakujący, który uzyska ujawnione hasło SSH, może zalogować się do węzłów klastra bez autoryzacji, co grozi pełnym przejęciem kontroli nad infrastrukturą wirtualizacyjną, naruszeniem poufności danych oraz integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się korzystanie z mechanizmu PXE boot wraz z konfiguracją Harvester zamiast interaktywnego instalatora, a także natychmiastową zmianę domyślnych haseł SSH na wszystkich węzłach klastra instalowanych za pomocą interaktywnego instalatora w wersjach 1.5.x lub 1.6.x.

Kogo dotyczy

SUSE Virtualization (Harvester) w wersjach 1.5.x oraz 1.6.x, gdy do instalacji lub rozszerzania klastra wykorzystywany jest interaktywny instalator. Środowiska korzystające z mechanizmu PXE boot z konfiguracją Harvester nie są podatne.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje