平台
java
组件
io.spinnaker.clouddriver:clouddriver-artifacts
修复版本
2025.1.7
2025.2.1
2025.1.7
2025.2.4
2025.1.6
CVE-2025-61916 是 io.spinnaker.clouddriver:clouddriver-artifacts 中的服务器端请求伪造 (SSRF) 漏洞。此漏洞允许攻击者通过远程 URL 获取数据,可能导致敏感信息泄露,例如身份验证数据。受影响的版本包括 ≤main-99。建议尽快升级至 2025.1.6 版本以修复此问题。
攻击者可以利用此 SSRF 漏洞从远程 URL 获取数据,并将其注入到 Spinnaker pipelines 中,例如通过 Helm 或其他方法。这可能导致攻击者提取 idmsv1 身份验证数据,或者通过 GET 请求等方式调用内部 Spinnaker API。更严重的是,如果 artifact 配置不当,攻击者可能将身份验证数据暴露给任意端点(例如 GitHub 身份验证头),从而导致凭证泄露。为了触发此漏洞,Spinnaker 安装必须启用了允许用户输入的 artifact,例如 GitHub 文件 artifact。
目前尚未公开已知利用此漏洞的公开 POC。CISA 尚未将其添加到 KEV 目录。由于该漏洞允许访问敏感数据和内部 API,因此存在被利用的风险。建议密切关注安全社区的动态,并及时采取缓解措施。
Organizations utilizing Spinnaker for continuous delivery pipelines, particularly those relying on GitHub file artifacts or other artifact types that allow user input, are at risk. Environments with permissive network configurations or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users share a Spinnaker instance should also be considered at higher risk.
• linux / server:
journalctl -u spinnaker -g "outbound request"• generic web:
curl -I <spinnaker_server_ip>/artifacts/some_artifact | grep -i 'Host:'disclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2025-61916 的影响,建议尽快升级至 2025.1.6 版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 artifact 配置,确保用户输入不会被用于构建 URL;实施严格的网络策略,限制 Spinnaker 实例可以访问的外部资源;审查 Spinnaker pipelines,确保没有不必要的外部资源访问。升级后,请验证 artifact 配置是否正确,并确认新的版本已成功部署。
升级 Spinnaker 到版本 2025.1.6、2025.2.3 或 2025.3.0 或更高版本。 另外,禁用允许用户输入 URL 的 HTTP 帐户类型。 考虑使用 OPA 策略来限制对无效 URL 的访问。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-61916 是 Spinnaker Clouddriver Artifacts 中的服务器端请求伪造 (SSRF) 漏洞,允许攻击者从远程 URL 获取数据,可能导致身份验证数据泄露。
如果您的 Spinnaker 实例版本小于或等于 main-99,则可能受到影响。请立即检查您的版本并升级。
建议升级至 2025.1.6 版本。如果无法升级,请实施临时缓解措施,例如限制 artifact 配置和网络策略。
目前尚未公开已知利用此漏洞的公开 POC,但由于其潜在影响,存在被利用的风险。
请访问 Spinnaker 官方安全公告页面,以获取有关此漏洞的最新信息和修复指南。
上传你的 pom.xml 文件,立即知道是否受影响。