平台
kubernetes
组件
mirror-registry
修复版本
1.10.0
2.5.4
CVE-2025-14243 是 OpenShift Mirror Registry 中发现的一个漏洞,允许未经身份验证的远程攻击者通过身份验证失败和帐户创建过程中的不同错误消息枚举有效的用户名和电子邮件地址。此漏洞可能导致信息泄露,并可能被用于进一步的攻击。受影响的版本包括 1.0.0–2.5.3。已发布 2.5.4 版本以修复此问题。
在 OpenShift Mirror Registry 中发现了一个漏洞 (CVE-2025-14243),允许未经身份验证的远程攻击者通过身份验证失败和帐户创建期间的不同错误消息枚举有效的用户名和电子邮件地址。此漏洞的 CVSS 评分是 5.3。 泄露此信息可能会促进社会工程攻击、凭据盗窃,并可能导致未经授权访问 OpenShift 集群中的资源。 镜像注册表对于容器镜像的可用性至关重要,破坏其安全性可能会对业务连续性和应用程序完整性产生重大影响。
未经身份验证的远程攻击者可以通过发送带有无效凭据的身份验证或帐户创建请求来利用此漏洞。 镜像注册表生成的错误消息会显示有关提供的用户名和电子邮件地址有效性的信息。 通过系统地重复此过程,攻击者可以编译一个有效的用户名和电子邮件地址列表。 此漏洞的易用性和低访问要求使其成为一个重要问题,尤其是在镜像注册表暴露于公共网络的环境中。
漏洞利用状态
EPSS
0.07% (21% 百分位)
CISA SSVC
此漏洞的建议缓解措施是将 OpenShift Mirror Registry 升级到版本 2.5.4 或更高版本。此版本包含防止用户和电子邮件枚举所需的修复程序。 此外,建议实施强大的安全实践,例如多因素身份验证 (MFA) 和定期轮换密码。 监控镜像注册表日志以查找异常的身份验证尝试或与帐户创建相关的错误也可以帮助检测和响应潜在攻击。 如果无法立即升级,则可以采取临时措施,例如限制对镜像注册表的访问以及审查日志配置以尽量减少错误消息中显示的信息。
Actualice a la versión 2.5.4 o superior del OpenShift Mirror Registry para mitigar la vulnerabilidad de enumeración de usuarios. Esta actualización corrige el problema al validar correctamente las entradas de usuario y evitar la divulgación de información sensible a través de mensajes de error. Consulte la documentación oficial de Red Hat para obtener instrucciones detalladas de actualización.
漏洞分析和关键警报直接发送到您的邮箱。
OpenShift Mirror Registry 是容器注册表(例如 Docker Hub)的本地副本,用于提高容器镜像的下载速度并确保原始注册表出现问题时的可用性。
版本 2.5.4 包含防止用户和电子邮件枚举所需的修复程序,从而减轻了 CVE-2025-14243 漏洞。
您可以限制对镜像注册表的访问,并审查日志配置以尽量减少错误消息中显示的信息。
定期检查镜像注册表日志是否存在异常的身份验证尝试或与帐户创建相关的错误。
Red Hat 提供用于漏洞评估的工具和指导。 更多信息请参阅官方 Red Hat OpenShift 文档。
CVSS 向量