关键信息 漏洞概述 CVE ID: CVE-2025-8283 GHSA ID: GHSA-rpcf-rmh6-42xr 发布日期: 2023年7月29日 最后更新日期: 2023年7月30日 漏洞严重性: 低 (CVSS v3 基础分数: 3.7/10) 影响的组件 包: @netavark (Rust) 受影响版本: < 1.15.1 修复版本: 1.15.1 漏洞描述 Netavark 是一个用于 Podman 容器的网络栈,由于 dns.podman 搜索域被移除,netavark 在接收到有效的 A/AAAA 记录时可能会返回外部服务器。当以特定名称创建容器时,该名称将用作容器本身的主机名,如果 Podman 的搜索域未添加,容器将使用主机的 resolv.conf,导致 DNS 解析器查找 resolv.conf 中的搜索域。如果搜索域包含与运行容器相同主机名的域名,连接将被转发到意外的外部服务器。 弱点 CVE 编号: CWE-15 (外部控制的证书值) 其他信息 参考链接: - https://nvd.nist.gov/vuln/detail/CVE-2025-8283 - https://access.redhat.com/security/cve/CVE-2025-8283 - https://bugzilla.redhat.com/show_bug.cgi?id=2383941 - containers/podman#26198 - containers/netavark#1256 - containers/netavark@068abc8 - https://github.com/containers/netavark/releases/tag/v1.15.1 发布方: - National Vulnerability Database on Jul 29 - GitHub Advisory Database on Jul 29 审查日期: 2023年7月30日