コンテナセキュ基盤「NeuVector」に脆弱性　管理者パスワードの変更を

コンテナセキュリティプラットフォーム「NeuVector」に複数の脆弱性が明らかとなった。乗っ取りが可能となる深刻な脆弱性も判明しており、アップデートで修正されている。

あわせて3件の脆弱性が明らかとなったもの。「CVE-2025-8077」は、管理者アカウントの初期パスワードが固定値となっている脆弱性。そのまま利用していた場合、同一クラスタ内のワークロードから認証トークンを取得でき、API経由であらゆる操作が可能となる。

またプロセス違反によりコマンドが終了した際、コマンドライン引数にパスワードを含む場合もイベントログにそのまま記録される問題「CVE-2025-54467」が明らかとなった。正規表現によるマスキング処理を行っていたが、不十分だったという。

さらにユーザーのパスワードやAPIキーのハッシュ化を行う際、ソルトが追加されていない「CVE-2025-53884」が判明した。レインボーテーブルを用いた解析に対して脆弱だった。

共通脆弱性評価システム「CVSSv3.1」のベーススコアにおいて、「CVE-2025-8077」は「9.8」とされており、重要度は4段階中もっとも高い「クリティカル（Critical）」と評価されている。のこる2件はいずれも「5.3」、重要度は2段階低い「中（Moderate）」とした。

開発チームでは、現地時間8月26日に脆弱性を解消した「同5.4.6」をリリース。既存環境を更新したあとは、管理者パスワードを変更したり、APIキーを再生成するよう求めている。

（Security NEXT - 2025/09/01 ）ツイート