Platform
java
Component
io.spinnaker.clouddriver:clouddriver-artifacts
Opgelost in
2025.1.7
2025.2.1
2025.1.7
2025.2.4
2025.1.6
CVE-2025-61916 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de io.spinnaker.clouddriver:clouddriver-artifacts component, versie main-99 en lager. Deze kwetsbaarheid stelt aanvallers in staat om data van externe URL's op te halen en te injecteren in Spinnaker pipelines, mogelijk leidend tot blootstelling van authenticatiegegevens en toegang tot interne API's. Het probleem is verholpen in versie 2025.1.6.
De impact van deze SSRF-kwetsbaarheid is aanzienlijk. Aanvallers kunnen data van externe bronnen ophalen en deze injecteren in Spinnaker pipelines, bijvoorbeeld via Helm of andere methoden. Dit kan leiden tot het extraheren van gevoelige informatie, zoals idmsv1 authenticatiegegevens. Bovendien kunnen interne Spinnaker API's worden opgeroepen via GET-verzoeken en vergelijkbare endpoints. Afhankelijk van de configuratie van de artifact, kunnen authenticatiegegevens (zoals GitHub auth headers) worden blootgesteld aan willekeurige endpoints, wat resulteert in een ernstige credentials exposure. Om deze kwetsbaarheid te exploiteren, moet de Spinnaker-installatie een artifact hebben dat gebruikersinvoer toestaat, zoals een GitHub file artifact.
Op het moment van publicatie (2026-01-05) is er geen informatie beschikbaar over actieve exploitatie van CVE-2025-61916. Er zijn ook geen publieke proof-of-concept exploits bekend. De KEV-status is momenteel onbekend. De ernst van de kwetsbaarheid is hoog, wat duidt op een potentieel risico, maar vereist verdere monitoring.
Organizations utilizing Spinnaker for continuous delivery pipelines, particularly those relying on GitHub file artifacts or other artifact types that allow user input, are at risk. Environments with permissive network configurations or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users share a Spinnaker instance should also be considered at higher risk.
• linux / server:
journalctl -u spinnaker -g "outbound request"• generic web:
curl -I <spinnaker_server_ip>/artifacts/some_artifact | grep -i 'Host:'disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-61916 is het upgraden naar versie 2025.1.6 van io.spinnaker.clouddriver:clouddriver-artifacts. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke workarounds zoals het beperken van de toegang tot de artifact configuratie en het implementeren van strenge validatie van gebruikersinvoer. Het gebruik van een Web Application Firewall (WAF) kan helpen om kwaadaardige verzoeken te blokkeren. Controleer de Spinnaker-configuratie op onnodige artifact-typen die gebruikersinvoer toestaan en schakel deze uit indien mogelijk. Na de upgrade, bevestig de correcte werking door een testpipeline uit te voeren die de artifact gebruikt en controleer of er geen ongewenste externe verzoeken worden gedaan.
Actualiseer Spinnaker naar versie 2025.1.6, 2025.2.3 of 2025.3.0 of hoger. Als alternatief, schakel HTTP account types uit die URL-invoer door gebruikers toestaan. Overweeg het gebruik van OPA policies om toegang tot ongeldige URLs te beperken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-61916 is een SSRF-kwetsbaarheid in de io.spinnaker.clouddriver:clouddriver-artifacts component, waardoor aanvallers data van externe URL's kunnen ophalen en mogelijk authenticatiegegevens kunnen blootleggen.
U bent getroffen als u een versie van io.spinnaker.clouddriver:clouddriver-artifacts gebruikt die lager is dan 2025.1.6 en een artifact gebruikt dat gebruikersinvoer toestaat.
Upgrade naar versie 2025.1.6 van io.spinnaker.clouddriver:clouddriver-artifacts. Indien een upgrade niet mogelijk is, implementeer dan tijdelijke workarounds zoals het beperken van de toegang tot de artifact configuratie.
Op het moment van publicatie is er geen informatie beschikbaar over actieve exploitatie van CVE-2025-61916.
Raadpleeg de Spinnaker-documentatie en de release notes voor versie 2025.1.6 voor meer informatie over deze kwetsbaarheid en de bijbehorende fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.