「Kubernetes」向けパッケージ管理ツール「Helm」に脆弱性
「Kubernetes」向けのパッケージ管理ツール「Helm」に脆弱性が明らかとなった。修正パッチが提供されている。
ローカルファイルに対するシンボリックリンクを悪用し、コードを実行されるおそれのある脆弱性「CVE-2025-53547」が明らかとなったもの。
同脆弱性は、細工した「Chart.yaml」ファイルと、実行される可能性のあるシェルの設定ファイルへシンボリックリンクされた「Chart.lock」ファイルの組み合わせに起因。コマンドラインによる依存関係の更新時にコードを実行されるおそれがある。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.5」、重要度は4段階中、上から2番目にあたる「高(High)」とレーティングされている。
開発チームでは、現地時間7月8日に「Helm 3.18.4」をリリースし、脆弱性を解消した。
(Security NEXT - 2025/07/14 )
ツイート
関連リンク
PR
関連記事
IT資産管理ツール「SS1」に複数の深刻な脆弱性 - アップデートを
「Movable Type」のPWリセット機能に複数脆弱性 - 修正版公開
「i-フィルター」に脆弱性 - 未使用やプリインストールも影響
「GitLab」にアップデート - 脆弱性4件やバグを解消
「Langflow」に脆弱性、管理者権限を奪われるおそれ
「Chrome」に「クリティカル」脆弱性 - アップデートを公開
「NetScaler ADC/Gateway」に脆弱性、すでに悪用も - 緊急対応を
「Git」「Citrix製品」の脆弱性悪用を注意喚起 - 米当局
ヘッドレスCMS「Directus」に脆弱性 - 7月の更新で対処
「ServiceNow AI Platform」に権限昇格の脆弱性