「Red Hat OpenShift AI」に脆弱性 - クラスタ管理者権限奪取のおそれ
「Red Hat OpenShift AI」に深刻な脆弱性が明らかとなった。プラットフォームの制御を奪われ、稼働するアプリケーションにも影響が及ぶおそれがある。パッチは提供されておらず、緩和策をアナウンスしている。
同ソフトウェアは、データの取り込みやトレーニング、チューニング、モニタリングなど、AIモデル開発のライフサイクルを管理するためのプラットフォーム。
同ソフトウェアにおいて、認証された低権限ユーザーによって、権限の昇格が可能となる脆弱性「CVE-2025-10725」が確認された。
プラットフォームへアクセスするための低い権限より、クラスタ管理者の権限を取得し、クラスター全体の制御を奪うことが可能。インフラ全体を制御したり、データ漏洩やサービス拒否などのおそれがあるほか、プラットフォーム上でホストされているアプリケーションも侵害されるおそれがある。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.9」と評価されているが、Red Hatでは最小限の認証が必要であるとし、重要度を1段階低い「重要(Important)」としたという。
現時点で修正パッチに関する具体的なアナウンスは行われていない。同社では権限設定を見直す緩和策をアナウンスし、利用者に注意を呼びかけている。
(Security NEXT - 2025/10/01 )
ツイート
PR
関連記事
SAP、5月の定例アップデート15件を公開 - 2件は「クリティカル」
ウェブサーバ「nginx」に複数脆弱性 - 「クリティカル」も
Adobe、「Adobe Commerce」など10製品に向けてアップデート
「FortiOS」にFortinet製ネットワーク機器から悪用可能な脆弱性
ビデオ会議ツール「Zoom」のWindows版などに脆弱性
キヤノン製プリンタ、複合機に情報取得の脆弱性 - 162モデルに影響
Apple、「macOS Tahoe 26.5」を公開 - 脆弱性79件を修正
会議ツール「Zoom」Windows向けクライアントに深刻な脆弱性
「GUARDIANWALL MailSuite」に深刻な脆弱性 - すでに悪用も
Apple、「iOS 26.5」「iPadOS 26.5」で多数脆弱性を修正 - 旧端末向け更新も
