CVE-2025-11393— Red Hat Runtimes Inventory Operator 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2025-11393の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Insights-runtimes-tech-preview/runtimes-inventory-rhel8-operator: improper proxy configuration allows unauthorized administrative commands
ソース: NVD (National Vulnerability Database)
脆弱性説明
A flaw was found in runtimes-inventory-rhel8-operator. An internal proxy component is incorrectly configured. Because of this flaw, the proxy attaches the cluster's main administrative credentials to any command it receives, instead of only the specific reports it is supposed to handle. This allows a standard user within the cluster to send unauthorized commands to the management platform, effectively acting with the full permissions of the cluster administrator. This could lead to unauthorized changes to the cluster's configuration or status on the Red Hat platform.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
未有动机的代理或中间人(混淆代理)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Red Hat Runtimes Inventory Operator 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Red Hat Runtimes Inventory Operator是美国红帽(Red Hat)公司的一个程序运行时环境管理软件。 Red Hat Runtimes Inventory Operator存在安全漏洞,该漏洞源于内部代理组件配置不当,可能导致标准用户以集群管理员权限执行未授权命令。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| Red Hat | Red Hat Lightspeed (formerly Insights) for Runtimes 1 | sha256:08f473dec97e110a73e1c9886ee31512bb6937f87bdb95fbe77cb2d85695b936 ~ * | cpe:/a:redhat:lightspeed_for_runtimes:1.0::el9 | |
| Red Hat | Red Hat Runtimes Inventory Operator | - | cpe:/a:redhat:insights-runtimes:1 |
II. CVE-2025-11393の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2025-11393のインテリジェンス情報
请登录查看更多情报信息。
IV. 関連脆弱性
同じベンダー: Red Hat
- CVE-2026-42011
Gnutls: gnutls: security bypass due to incorrect name constr - CVE-2026-42010
Gnutls: gnutls: authentication bypass via nul character in u - CVE-2026-6420
Keylime: keylime: security bypass due to hardcoded tpm quote - CVE-2026-34956
Openvswitch: open vswitch: denial of service via malformed f - CVE-2026-34002
Xorg: xwayland: x.org x server: information disclosure or de
同じ弱点: CWE-441
- CVE-2026-45182
GrapheneOS 20260504前IP泄露漏洞 - CVE-2026-41365
OpenClaw < 2026.3.31 - Sender Allowlist Bypass via Graph API - CVE-2026-6993
go-kratos http.DefaultServeMux Fallback server.go NewServer - CVE-2026-39906
Unisys WebPerfect Image Suite 3.0 NTLMv2 Hash Leakage via .N - CVE-2025-62718
Axios has a NO_PROXY Hostname Normalization Bypass that Lead
V. CVE-2025-11393へのコメント
まだコメントはありません