Plataforma
go
Componente
github.com/gardener/gardener-extension-provider-aws
Corregido en
1.64.1
1.55.1
1.49.1
1.46.1
1.64.0
Se ha identificado una vulnerabilidad de inyección de código en el componente github.com/gardener/gardener-extension-provider-aws, específicamente cuando se utiliza Terraform para el aprovisionamiento de infraestructura. Esta falla permite a un atacante inyectar código malicioso, potencialmente ejecutándose con privilegios elevados dentro del entorno Gardener. La vulnerabilidad afecta a versiones anteriores a 1.64.0 y se recomienda aplicar la actualización para mitigar el riesgo.
La inyección de código en este contexto es extremadamente grave. Un atacante podría explotar esta vulnerabilidad para ejecutar comandos arbitrarios en el sistema Gardener, comprometiendo la infraestructura subyacente. Esto podría resultar en la exfiltración de datos sensibles, la modificación de la configuración del clúster, o incluso el control total del entorno. Dada la naturaleza del aprovisionamiento de infraestructura, el impacto podría extenderse a otros servicios y aplicaciones que dependen de Gardener, ampliando significativamente el radio de explosión. La capacidad de ejecutar código arbitrario implica que un atacante podría instalar puertas traseras persistentes, permitiendo el acceso continuo incluso después de la corrección inicial.
La vulnerabilidad ha sido publicada el 2025-10-23. No se ha confirmado la explotación activa en entornos de producción, pero la alta puntuación CVSS (9.9) indica un riesgo significativo. Es probable que esta vulnerabilidad sea objeto de escaneo y explotación por parte de actores maliciosos. Se recomienda monitorear de cerca los sistemas afectados y aplicar las mitigaciones lo antes posible. No se ha listado en el KEV de CISA al momento de esta redacción.
Organizations utilizing Gardener with the AWS extension provider for infrastructure provisioning are at risk. This includes teams heavily reliant on Terraform for automated deployments and those with less stringent input validation practices within their Terraform configurations. Shared hosting environments or deployments where Terraform state files are not adequately secured are particularly vulnerable.
• go / supply-chain:
find /opt/go/src/github.com/gardener/gardener-extension-provider-aws -name '*.go' -print0 | xargs -0 grep -i 'terraform.NewResource' • generic web:
curl -I https://<your-gardener-endpoint>/api/v1/extensionproviders/aws | grep -i 'server:'disclosure
Estado del Exploit
EPSS
0.07% (20% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 1.64.0 o superior de github.com/gardener/gardener-extension-provider-aws. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente las configuraciones de Terraform para identificar posibles puntos de inyección. Implementar controles de validación de entrada estrictos en los scripts de Terraform puede ayudar a prevenir la inyección de código malicioso. Además, se recomienda limitar los privilegios de las cuentas de servicio utilizadas por Terraform para minimizar el impacto en caso de una explotación exitosa. Después de la actualización, confirme la corrección revisando los registros del sistema en busca de actividad sospechosa relacionada con Terraform.
Actualice las extensiones de Gardener para AWS a la versión 1.64.0, Azure a la versión 1.55.0, OpenStack a la versión 1.49.0 y GCP a la versión 1.46.0 o superior. Esto corrige la vulnerabilidad de inyección de código al usar Terraformer para el aprovisionamiento de infraestructura. Asegúrese de actualizar todas las extensiones afectadas en su entorno de Gardener.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-59823 is a critical code injection vulnerability affecting gardener.com/gardener-extension-provider-aws versions before 1.64.0. It allows attackers to inject malicious code during Terraform infrastructure provisioning, potentially leading to system compromise.
If you are using gardener.com/gardener-extension-provider-aws versions prior to 1.64.0 and utilize Terraform for infrastructure provisioning, you are potentially affected by this vulnerability.
Upgrade to version 1.64.0 or later of gardener.com/gardener-extension-provider-aws. If immediate upgrade is not possible, implement stricter input validation in your Terraform configurations.
While no active exploitation has been publicly confirmed, the CRITICAL severity and the nature of the vulnerability suggest a high likelihood of exploitation.
Refer to the official Gardener documentation and security advisories for the most up-to-date information regarding CVE-2025-59823: [https://docs.gardener.cloud/security/advisories/](https://docs.gardener.cloud/security/advisories/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.