Plateforme
linux
Composant
ceph
Corrigé dans
17.2.8
18.2.2
19.0.1
La vulnérabilité CVE-2025-52555 affecte le système de stockage distribué Ceph. Elle permet à un utilisateur non privilégié d'escalader ses privilèges à root en modifiant les permissions d'un répertoire appartenant à root monté via ceph-fuse avec chmod 777. Cette faille compromet la confidentialité, l'intégrité et la disponibilité des données. Les versions concernées sont 17.2.1 à 19.2.2, et une correction est disponible à partir de la version 17.2.8.
Cette vulnérabilité permet à un attaquant d'obtenir un accès root sur un nœud Ceph, ce qui lui confère un contrôle total sur le système. L'attaquant peut alors lire, modifier et exécuter des fichiers appartenant à l'utilisateur root, compromettant ainsi l'ensemble des données stockées sur le cluster Ceph. Le risque est particulièrement élevé dans les environnements où ceph-fuse est utilisé pour accéder aux données Ceph, car il offre un point d'entrée pour l'escalade de privilèges. Une exploitation réussie pourrait entraîner une perte de données, une corruption du système ou une prise de contrôle complète de l'infrastructure de stockage.
Cette vulnérabilité n'est pas encore répertoriée sur KEV, et son score EPSS n'est pas disponible. Aucune preuve d'exploitation active n'a été signalée à ce jour. La vulnérabilité a été publiée le 26 juin 2025. Il est important de noter que l'exploitation de cette vulnérabilité nécessite une interaction de l'utilisateur et une modification manuelle des permissions, ce qui pourrait limiter sa probabilité d'exploitation à grande échelle.
Organizations heavily reliant on Ceph for storage, particularly those with environments where unprivileged users have access to ceph-fuse mounted file systems, are at risk. Shared hosting environments and deployments with overly permissive file permissions are especially vulnerable.
• linux / server:
journalctl -u ceph-fuse -g 'chmod 777' | grep -i 'permission granted'• linux / server:
find /mnt/cephfs -type d -user root -perm 777• linux / server:
ps aux | grep ceph-fuse | grep -i 'chmod 777'Public Disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Ceph vers une version corrigée (17.2.8 ou ultérieure). Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à restreindre les permissions des répertoires appartenant à root montés via ceph-fuse. Il est fortement recommandé de ne pas utiliser chmod 777 sur ces répertoires. Envisagez également de configurer un pare-feu pour limiter l'accès à ceph-fuse uniquement aux utilisateurs et aux processus autorisés. Après la mise à jour, vérifiez que les permissions des répertoires root sont correctement configurées et qu'aucun utilisateur non autorisé n'a accès à ces répertoires.
Actualice Ceph a las versiones 17.2.8, 18.2.5 o 19.2.3, o a una versión posterior. Esto corrige la vulnerabilidad de escalada de privilegios en CephFS montado con Fuse. La actualización evitará que usuarios sin privilegios escalen a privilegios de root.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-52555 is a medium severity vulnerability in Ceph versions 17.2.1–19.2.2 that allows unprivileged users to gain root access by manipulating file permissions.
You are affected if you are running Ceph versions 17.2.1 through 19.2.2 and have not upgraded to a patched version (17.2.8, 18.2.5, or 19.2.3).
Upgrade Ceph to version 17.2.8, 18.2.5, or 19.2.3. As a temporary workaround, restrict unprivileged user permissions on ceph-fuse mounted directories.
No active exploitation has been confirmed, but the vulnerability's simplicity suggests potential for exploitation.
Refer to the Ceph security advisory for detailed information and updates: [https://docs.ceph.com/en/latest/security/](https://docs.ceph.com/en/latest/security/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.