CVE-2025-12548CVE-2025-12548是Eclipse Che che-machine-exec组件中的一个严重安全漏洞,CVSS评分高达9.0(严重级别)。该漏洞允许未经认证的远程攻击者通过TCP端口3333上暴露的未认证JSON-RPC/websocket API,在其他用户的开发者工作区容器中执行任意命令,并窃取敏感信息,包括SSH密钥、API令牌等凭据。由于攻击无需任何认证且可实现容器逃逸和数据窃取,对云原生开发环境构成极高威胁。攻击者可以利用此漏洞完全控制受害者的开发环境,访问源代码、数据库连接信息、云服务凭证等敏感资源,进而对组织造成严重的数据泄露和进一步的攻击。
该漏洞存在于Eclipse Che的che-machine-exec服务中,该服务负责在Kubernetes/OpenShift集群中执行用户代码。漏洞根源在于TCP端口3333上暴露的JSON-RPC/websocket API缺少认证和授权检查。攻击者可以通过WebSocket协议连接到该端口,发送精心构造的JSON-RPC请求来执行任意系统命令。由于API未验证请求来源,攻击者可利用此漏洞在共享集群中的其他用户容器内执行命令,从而实现容器间隔离的突破。通过在容器内执行命令,攻击者可以读取环境变量获取敏感凭据,访问挂载的密钥卷(如SSH密钥、registry凭据),甚至通过服务账号令牌访问Kubernetes API进行横向移动或权限提升。