Plataforma
linux
Componente
automate
Corregido en
4.13.295
La vulnerabilidad CVE-2025-8868 es una inyección SQL detectada en el servicio de cumplimiento de Chef Automate. Esta falla permite a un atacante autenticado obtener acceso no autorizado a funcionalidades restringidas dentro del servicio de cumplimiento. El problema afecta a las versiones de Chef Automate anteriores a la 4.13.295, específicamente en la plataforma Linux x86. Se ha publicado una actualización para mitigar este riesgo.
Un atacante que explote esta vulnerabilidad podría comprometer la integridad y confidencialidad de los datos almacenados en Chef Automate. La inyección SQL permite la manipulación de consultas a la base de datos, lo que podría resultar en la lectura, modificación o eliminación de información sensible, como credenciales de usuario, configuraciones de cumplimiento y datos de auditoría. El acceso no autorizado a estas funcionalidades podría permitir al atacante tomar el control del sistema, realizar cambios no autorizados en la configuración y evadir los controles de seguridad. Aunque la vulnerabilidad requiere autenticación, la posibilidad de obtener acceso a funcionalidades restringidas representa un riesgo significativo para la seguridad de la infraestructura gestionada por Chef Automate.
La vulnerabilidad CVE-2025-8868 fue publicada el 29 de septiembre de 2025. No se ha identificado su inclusión en el KEV de CISA ni se han reportado campañas de explotación activas a la fecha. La disponibilidad de un proof-of-concept público podría aumentar el riesgo de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations heavily reliant on Chef Automate for configuration management and compliance enforcement are at significant risk. Specifically, deployments using older versions of Chef Automate (0–4.13.294) running on Linux x86 platforms are directly vulnerable. Shared hosting environments where Chef Automate is deployed may also be at increased risk due to potential cross-tenant vulnerabilities.
• linux / server:
journalctl -u chef-automate -g "compliance service"• linux / server:
ps aux | grep "compliance service" | grep -i sql• generic web: Use a WAF to monitor for SQL injection attempts targeting Chef Automate endpoints.
disclosure
Estado del Exploit
EPSS
13.85% (94% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-8868 es actualizar Chef Automate a la versión 4.13.295 o superior. Si la actualización inmediata no es posible, se recomienda revisar y endurecer los controles de acceso al servicio de cumplimiento, limitando los privilegios de los usuarios y aplicando el principio de mínimo privilegio. Implementar reglas de firewall para restringir el acceso al servicio de cumplimiento solo a las fuentes autorizadas también puede ayudar a reducir la superficie de ataque. Aunque no existe una solución de parcheo, se recomienda monitorear los registros del sistema en busca de patrones de inyección SQL y considerar el uso de un Web Application Firewall (WAF) para detectar y bloquear ataques.
Actualice Chef Automate a la versión 4.13.295 o posterior. Esta actualización corrige la vulnerabilidad de inyección SQL en el servicio de cumplimiento. Consulte las notas de la versión en https://docs.chef.io/release_notes_automate/#4.13.295 para obtener más detalles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-8868 is a critical SQL Injection vulnerability in Chef Automate compliance service versions 0–4.13.294, allowing authenticated attackers to gain unauthorized access.
Yes, if you are running Chef Automate versions 0–4.13.294 on a Linux x86 platform, you are vulnerable to this SQL Injection flaw.
Upgrade Chef Automate to version 4.13.295 or later to remediate the vulnerability. Consider WAF rules as a temporary mitigation.
While no active exploitation has been confirmed, the critical severity suggests a high probability of exploitation if a suitable exploit is developed.
Refer to the official Chef Automate security advisory for CVE-2025-8868 on the Chef website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.