关键信息 漏洞概述 CVE ID: CVE-2025-24375 描述: MySQL K8s charm 可能泄露 root 级用户 的凭据。 CVSS 评分: 低 (0.0/10) 影响版本 mysql-k8s-operator: revisions < 221 mysql-operator: revisions < 338 修复版本 mysql-k8s-operator: revision 221 mysql-operator: revision 338 漏洞详情 CVE-2025-24375: 平文本脚本在 mysql-operator 中可能导致密码泄露。 摘要: 当前调用 SQL DDL 或基于 Python 的 mysql-shell 脚本的方法可能会泄露数据库用户的凭据。 详细信息: mysql-operator 调用 mysql-shell 应用程序依赖于写入包含完整 URI、用户名和密码的临时脚本文件。该文件在操作符运行时可被非特权用户读取,因为它以读权限(0x644)创建。 影响 机密性: 数据库凭据泄露。 受影响用户: 所有使用 mysql-operator 机器和 Kubernetes 操作符的用户。 利用前提条件: 需要对操作符主机的特定访问。 缓解措施 1. 立即更新到 version 221 或 338(k8s 和 vm)或更高版本,其中已解决此漏洞。 2. 旋转任何暴露的凭据。 解决方案 在 revision 221(k8s)和 338(machine)中解决了漏洞,更改了调用脚本的方法,不再暴露任何凭据。 参考 mysql-operator-k8s PR#553 mysql-operator PR#579