关键信息 漏洞概述 CVE编号: CVE-2025-6032 发布日期: 2025年7月2日 CVSS v3评分: 8.3 (重要) 影响: 重要影响,可能导致中间人攻击 描述 漏洞详情: Podman的 命令在从OCI注册表下载VM镜像时未能验证TLS证书。这导致了中间人攻击的风险。 外部参考: - CA Issue #94 - Red Hat Security Advisory 缓解措施 建议: 使用另一个工具验证TLS证书后下载VM镜像,并通过本地路径传递给Podman。 受影响的包和安全公告 受影响的产品和服务: - Red Hat OpenShift Container Platform 4.6 - Red Hat Quay Enterprise Transform Platform 4.6 - Red Hat Enterprise Linux 8 - Red Hat Enterprise Linux 9 - Red Hat OpenShift Container Platform 4 CVSS v3评分细节 攻击向量: 网络 攻击复杂度: 高 特权要求: 无 用户交互: 需要 作用范围: 改变 机密性影响: 高 完整性影响: 高 可用性影响: 高 弱点理解(CWE) CWE编号: CWE-295 描述: 完整性和身份验证问题,可能导致权限提升或身份冒用。 致谢 发现者: Max Hoisinger (Red Hat Inc.)