关键漏洞信息 CVE ID: CVE-2025-8904 GHSA ID: GHSA-hf6h-76fm-735v 严重性: Critical (9.0/10) CVSS v4 基本指标: - 攻击向量: Network - 攻击复杂度: High - 攻击需求: Present - 所需权限: Low - 用户交互: None - 机密性影响: High - 完整性影响: High - 可用性影响: High 描述: Amazon EMR Secret Agent 创建一个包含 Kerberos 凭据的 keytab 文件。该文件存储在 /tmp/ 目录中。具有访问此目录和另一个帐户的用户可能解密密钥并提升特权。 建议用户升级到 Amazon EMR 版本 7.5 或更高版本。对于 Amazon EMR 6.10 和 7.4 版本,强烈建议运行带有修复程序的 bootstrap 脚本和 RPM 文件。 参考链接: - https://nvd.nist.gov/vuln/detail/CVE-2025-8904 - https://aws.amazon.com/security/security-bulletins/AWS-2025-017 - https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-release-app-versions-7.x.html - GHSA-hf6h-76fm-735v 发布时间: - 发布于 National Vulnerability Database: 2023年8月14日 - 发布于 GitHub Advisory Database: 2023年8月14日 - 最后更新: 4小时前