Plataforma
go
Componente
github.com/openshift/openshift-apiserver
A vulnerabilidade CVE-2025-14443 é uma falha de SSRF (Server-Side Request Forgery) descoberta no componente openshift-apiserver do OpenShift. Essa falha permite que um atacante realize requisições para recursos internos, potencialmente expondo dados sensíveis ou comprometendo a segurança do sistema. A vulnerabilidade afeta versões anteriores à correção e a equipe do OpenShift recomenda a atualização imediata para mitigar o risco.
Um atacante explorando essa vulnerabilidade SSRF pode realizar requisições para qualquer recurso acessível pelo openshift-apiserver, mesmo que esses recursos não sejam acessíveis diretamente pela internet. Isso pode incluir acesso a serviços internos, bancos de dados, ou outros sistemas que o apiserver possa alcançar. O impacto potencial é a exposição de informações confidenciais, como credenciais de acesso, dados de usuários, ou informações de configuração. Além disso, um atacante pode usar a SSRF para realizar ataques de escalonamento de privilégios ou para explorar outras vulnerabilidades em sistemas internos. A ausência de validação adequada de endereços IP e intervalos de rede em referências de imagens fornecidas pelo usuário é a raiz do problema.
A vulnerabilidade CVE-2025-14443 foi publicada em 2026-03-10. Não há informações disponíveis sobre a adição a KEV ou EPSS. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da SSRF a torna potencialmente explorável. É recomendável monitorar as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
Organizations heavily reliant on OpenShift for container orchestration and application deployment are at significant risk. Specifically, deployments utilizing custom image registries or integrating with internal services accessible via image references are particularly vulnerable. Environments with limited network segmentation or inadequate firewall rules face a heightened risk of exploitation.
• linux / server:
journalctl -u kube-apiserver -g "image reference validation" | grep -i error• go / supply-chain:
Inspect the github.com/openshift/openshift-apiserver codebase for instances of image reference processing logic. Look for missing or inadequate IP/network range validation.
• generic web:
Monitor access logs for unusual outbound requests originating from the OpenShift Apiserver, particularly those involving internal IP addresses or unexpected domains.
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-14443 é a atualização para uma versão do OpenShift que inclua a correção. Verifique a documentação oficial do OpenShift para obter instruções detalhadas sobre como realizar a atualização. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias, como a configuração de regras de firewall para restringir o acesso ao openshift-apiserver apenas a fontes confiáveis. Além disso, revise e reforce as políticas de rede para garantir que o apiserver não tenha acesso a recursos desnecessários. Monitore os logs do apiserver em busca de atividades suspeitas, como requisições para endereços IP internos inesperados.
Atualize para uma versão do Red Hat OpenShift Container Platform 4 que inclua a correção para esta vulnerabilidade. Consulte as notas de versão do Red Hat para obter instruções específicas sobre como atualizar sua plataforma.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14443 is a HIGH severity SSRF vulnerability in OpenShift Apiserver, allowing attackers to initiate connections to unintended resources via manipulated image references.
If you are running OpenShift Apiserver versions prior to the patched release, you are potentially affected by this SSRF vulnerability.
The recommended fix is to upgrade to a version of OpenShift Apiserver that includes the security patch. Consult the official OpenShift documentation for upgrade instructions.
As of the current date, there are no publicly known active exploitation campaigns targeting CVE-2025-14443, but it's crucial to remain vigilant.
Refer to the official OpenShift security advisories and release notes for details regarding CVE-2025-14443 and the corresponding fix.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.