Plataforma
kubernetes
Componente
helm
Corregido en
3.18.5
La vulnerabilidad CVE-2025-53547 afecta a Helm, el gestor de paquetes para Charts de Kubernetes. Antes de la versión 3.18.4, un archivo Chart.yaml especialmente diseñado, combinado con un archivo Chart.lock vinculado, puede provocar la ejecución de código local cuando se actualizan las dependencias. Esta vulnerabilidad permite a un atacante inyectar código malicioso que se ejecuta durante el proceso de actualización de dependencias.
Un atacante puede explotar esta vulnerabilidad creando un archivo Chart.yaml malicioso que contenga comandos que se ejecutarán cuando se actualicen las dependencias. El archivo Chart.lock, al estar vinculado, permite que estos comandos se escriban en archivos ejecutables como bash.rc o scripts de shell. Esto resulta en la ejecución no autorizada de código en el sistema donde se está ejecutando Helm. El impacto potencial es significativo, incluyendo la toma de control del clúster de Kubernetes, el robo de información sensible y la interrupción del servicio.
Esta vulnerabilidad ha sido publicada el 8 de julio de 2025. No se ha añadido a KEV en este momento. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (RCE) la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear de cerca la situación y aplicar las mitigaciones lo antes posible.
Kubernetes administrators and developers using Helm to manage their applications are at risk. Specifically, those using older versions of Helm (≤ 3.18.4) and those who allow untrusted users to contribute to Helm charts are particularly vulnerable. Shared Kubernetes clusters and environments with limited access controls also increase the risk.
• linux / server:
find /var/lib/helm/charts -name Chart.lock -type f -exec grep -i 'malicious_content' {} + • linux / server:
journalctl -u helm -f | grep -i 'dependency update' • generic web:
Inspect Helm chart repositories for suspicious Chart.yaml files. Look for unusual characters or commands within the dependencies section.
disclosure
Estado del Exploit
EPSS
0.01% (0% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Helm a la versión 3.18.4 o superior, que corrige esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente los archivos Chart.yaml y Chart.lock antes de actualizar las dependencias. Implementar controles de acceso estrictos para limitar quién puede modificar los archivos Chart.yaml y Chart.lock. Considerar el uso de herramientas de escaneo de seguridad para identificar posibles vulnerabilidades en los Charts antes de su despliegue. Después de la actualización, verificar la integridad del sistema y los registros de auditoría para detectar cualquier actividad sospechosa.
Actualice Helm a la versión 3.18.4 o superior. Esto corrige la vulnerabilidad que permite la ejecución de código local mediante la manipulación de archivos Chart.yaml y Chart.lock.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-53547 is a high-severity vulnerability in Helm versions 3.18.4 and earlier that allows for local code execution through crafted Chart.yaml and Chart.lock files during dependency updates.
You are affected if you are using Helm version 3.18.4 or earlier. Check your Helm version and upgrade immediately if necessary.
Upgrade Helm to version 3.18.4 or later to mitigate this vulnerability. Prior to upgrading, test the upgrade in a non-production environment.
There is currently no evidence of active exploitation, but the availability of a proof-of-concept increases the risk.
Refer to the official Helm security advisory for detailed information and updates: [https://github.com/helm/helm/security/advisories/GHSA-xxxx-xxxx-xxxx](Replace with actual advisory URL when available)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.