В Red Hat OpenShift AI обнаружена уязвимость, позволяющая злоумышленнику с низким уровнем привилегий (например, учёному данных, использующе…

В Red Hat OpenShift AI обнаружена уязвимость, позволяющая злоумышленнику с низким уровнем привилегий (например, учёному данных, использующему Jupyter‑ноутбук) повысить свои полномочия до уровня кластера‑администратора. В кластере присутствует роль ClusterRole «kueue-batch-user-role», ошибочно привязанная к группе system:authenticated, что предоставляет любой аутентифицированной сущности право создавать OpenShift‑Jobs в любом пространстве имён. Злоумышленник может запустить вредоносный Job в привилегированном пространстве, использовать высокопривилегированный ServiceAccount для кражи токена и последующего повышения привилегий до root на мастерах кластера. Рекомендации: удалить привязку ClusterRoleBinding, ограничив создание Job только необходимыми пользователями или группами, следуя принципу наименьших привилегий. Подробнее см. в источниках [1][2]. Источники: - [1] https://access.redhat.com/security/cve/CVE-2025-10725 - [2] https://bugzilla.redhat.com/show_bug.cgi?id=2396641