CVE-2025-66623Strimzi是一个在Kubernetes或OpenShift上运行Apache Kafka集群的解决方案。从0.47.0版本开始到0.49.1之前的版本,Strimzi在某些部署场景下会创建一个错误的Kubernetes Role,该角色错误地授予了Apache Kafka Connect和Apache Kafka MirrorMaker 2 operands对特定Kubernetes命名空间中所有Secrets的GET访问权限。这一权限配置错误可能导致攻击者通过获取到的Secrets中的敏感凭证(如数据库密码、API密钥、TLS证书等)进行横向移动或权限提升攻击。由于攻击向量为邻接网络且无需认证,该漏洞在实际环境中具有较高的利用风险。
该漏洞的根本原因在于Strimzi在创建Kubernetes Role时配置了过于宽泛的权限规则。在正常的Kafka Connect或MirrorMaker 2部署中,组件通常只需要访问特定的Secrets(如用于连接外部系统的凭证),但受影响的版本会为这些组件授予GET权限到命名空间内的所有Secrets资源。这违反了最小权限原则,使得任何能够与Kafka Connect或MirrorMaker 2组件交互的攻击者都可能读取敏感的配置信息。攻击者可以通过Kubernetes API直接查询Secrets列表或获取特定Secret的内容,获取包括数据库凭证、第三方服务API密钥、TLS证书等敏感数据。利用此漏洞需要攻击者处于同一邻接网络的Kubernetes环境中,能够访问到受影响的命名空间。CVSS评分7.4,主要影响机密性。