Helm local code execution via a malicious chart – CVE-2025-53547
10 months ago
- #Vulnerability
- #Helm
- #Security
- Helm 贡献者发现了一个漏洞,特制的 Chart.yaml 和 Chart.lock 文件可能导致在依赖项更新期间执行本地代码。
- 该漏洞涉及符号链接的 Chart.lock 文件,当更新时,可以将恶意内容写入可执行文件,如 bash.rc 或 shell 脚本。
- 此问题影响 Helm 在运行 'helm dependency update' 命令时,或当 Helm SDK 的下载管理器执行更新时。
- 该漏洞已在 Helm v3.18.4 版本中修复。
- 临时解决方法是确保在更新依赖项之前,Chart.lock 文件不是符号链接。
- 此安全问题由 AlphaSense 的 Jakub Ciolek 披露。