Portainer CVE-2025-44884 Missing Authorization on Custom Template Endpoint Allows Unauthorized Read Access

漏洞概述 漏洞名称：Missing authorization on custom template file endpoint exposes template content CVE编号：CVE-2025-44884 CVSS评分：6.0/10 漏洞类型：CWE-862 — Missing Authorization 严重程度：Medium 描述：在Custom Template文件端点（GET /api/custom_templates/{id}/file）中存在一个未授权访问漏洞，允许任何已认证用户读取任何自定义模板的文件内容，绕过资源控制限制。模板文件可能包含环境特定的值，如连接字符串、API令牌或注册表凭证，这些是管理员不希望标准用户读取的。 影响范围 受影响版本： - >= 2.33.0, = 2.39.0, < 2.39.1 修复版本： - 2.33.8 - 2.39.1 影响：任何已认证用户（包括最低权限的标准用户）可以读取实例中每个自定义模板的文件内容。自定义模板通常包含Docker Compose配置，可能包括环境特定的秘密，如数据库连接字符串、API令牌或注册表凭证。 修复方案 修复版本：升级到2.33.8或2.39.1。 临时解决方案： - 避免在自定义模板中存储秘密，直到补丁版本部署。将敏感配置值移动到环境变量或外部秘密存储。 - 审查现有自定义模板中的嵌入式秘密。假设任何先前存储在未修补实例上的自定义模板中的秘密已暴露给每个已认证用户，并相应地轮换。 受影响代码 安全参考 时间线 2026-02-11：通过GitHub Security Advisory由duddn0615k报告。 2026-03-04：修复合并到develop，并cherry-picked到release/2.39。 2026-03-10：2.39.1发布，包含修复。 2026-03-25：2.40.0发布，修复已从分支中移除。 2026-05-07：2.33.8发布。 信用 duddn0615k：识别并报告了自定义模板文件端点上的缺失授权检查。

目標達成すべての支援者に感謝 — 100%達成しました！

Portainer CVE-2025-44884 Missing Authorization on Custom Template Endpoint Allows Unauthorized Read Access

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

Portainer CVE-2025-44884 Missing Authorization on Custom Template Endpoint Allows Unauthorized Read Access

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！