प्लेटफ़ॉर्म
go
घटक
github.com/openshift/openshift-apiserver
CVE-2025-14443 openshift-apiserver में एक गंभीर SSRF (सर्वर-साइड रिक्वेस्ट फोरेजरी) भेद्यता है। यह भेद्यता हमलावरों को आंतरिक संसाधनों तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। यह भेद्यता github.com/openshift/openshift-apiserver में पाई गई है, जहाँ उपयोगकर्ता-प्रदत्त छवि संदर्भों में IP/नेटवर्क-रेंज सत्यापन की कमी है। इस भेद्यता को दूर करने के लिए, नवीनतम संस्करण में अपडेट करने की अनुशंसा की जाती है।
यह SSRF भेद्यता हमलावरों को openshift-apiserver के माध्यम से आंतरिक नेटवर्क संसाधनों तक पहुंचने की अनुमति देती है। हमलावर आंतरिक सेवाओं, डेटाबेस और अन्य संवेदनशील प्रणालियों को लक्षित कर सकते हैं। एक सफल शोषण से डेटा का प्रकटीकरण, संशोधन या विनाश हो सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि इसका उपयोग अन्य आंतरिक प्रणालियों में आगे बढ़ने के लिए किया जा सकता है, जिससे संभावित रूप से पूरे बुनियादी ढांचे पर प्रभाव पड़ सकता है। इस भेद्यता का शोषण आंतरिक नेटवर्क पर गोपनीय जानकारी तक पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि API कुंजियाँ, डेटाबेस क्रेडेंशियल और अन्य संवेदनशील डेटा।
CVE-2025-14443 को अभी तक KEV में जोड़ा नहीं गया है। EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की गंभीरता को देखते हुए, सक्रिय शोषण की संभावना है। यह भेद्यता 2026-03-10 को प्रकाशित हुई थी।
Organizations heavily reliant on OpenShift for container orchestration and application deployment are at significant risk. Specifically, deployments utilizing custom image registries or integrating with internal services accessible via image references are particularly vulnerable. Environments with limited network segmentation or inadequate firewall rules face a heightened risk of exploitation.
• linux / server:
journalctl -u kube-apiserver -g "image reference validation" | grep -i error• go / supply-chain:
Inspect the github.com/openshift/openshift-apiserver codebase for instances of image reference processing logic. Look for missing or inadequate IP/network range validation.
• generic web:
Monitor access logs for unusual outbound requests originating from the OpenShift Apiserver, particularly those involving internal IP addresses or unexpected domains.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-14443 के लिए तत्काल शमन में नवीनतम संस्करण में अपडेट करना शामिल है जिसमें भेद्यता को ठीक किया गया है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके आंतरिक संसाधनों तक अनधिकृत पहुंच को रोकने के लिए सख्त नेटवर्क नीतियों को लागू किया जा सकता है। सुनिश्चित करें कि सभी छवि संदर्भों को ठीक से मान्य किया गया है और आंतरिक नेटवर्क संसाधनों तक पहुंच को प्रतिबंधित किया गया है। भेद्यता के लिए सिस्टम लॉग की नियमित रूप से निगरानी करें और किसी भी संदिग्ध गतिविधि की जांच करें।
इस भेद्यता के लिए पैच शामिल करने वाले Red Hat OpenShift Container Platform 4 के एक संस्करण में अपडेट करें। अपने प्लेटफ़ॉर्म को अपडेट करने के बारे में विशिष्ट निर्देशों के लिए Red Hat रिलीज़ नोट्स देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-14443 openshift-apiserver में एक SSRF भेद्यता है जो हमलावरों को आंतरिक संसाधनों तक पहुंचने की अनुमति देती है।
यदि आप openshift-apiserver के पुराने संस्करण का उपयोग कर रहे हैं जिसमें IP/नेटवर्क-रेंज सत्यापन की कमी है, तो आप प्रभावित हैं।
CVE-2025-14443 को ठीक करने के लिए, नवीनतम संस्करण में अपडेट करें।
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की गंभीरता को देखते हुए, सक्रिय शोषण की संभावना है।
आधिकारिक सलाहकार के लिए Red Hat सुरक्षा सलाहकारों की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।