OpenShift GitOps 高危漏洞可致集群沦陷（CVE-2025-13888）—— 低权限用户可提权至 root 权限

红帽 OpenShift GitOps 中被曝出一个高危漏洞，低权限用户可借此完全接管 Kubernetes 集群。该漏洞编号为 CVE-2025-13888，严重等级评分高达 9.1 分（高危级别），允许命名空间管理员诱导系统授予其整个集群的 root 权限。

此漏洞源于 GitOps 操作器对 ArgoCD 自定义资源（CR）的处理机制缺陷，直接将一项标准的管理功能变成了提权攻击的工具。

OpenShift GitOps 原本旨在通过 Git 作为唯一可信数据源，实现部署流程自动化。但研究人员发现，其针对 ArgoCD 自定义资源的创建权限模型存在过度宽松的问题。

漏洞报告中指出：“只要能够创建 ArgoCD 自定义资源，攻击者基本上就能接管整个集群。”

该攻击的实现路径是操纵 ArgoCD 自定义资源中的 sourceNamespaces 字段。命名空间管理员的权限通常仅限于管理集群中自身独立的命名空间分区，但通过在该字段中定义目标命名空间（即便是 default 这类高权限命名空间），即可发起攻击。

攻击者表示：“当我创建这个恶意 ArgoCD 自定义资源后，操作器会为指定的 sourceNamespaces 添加标签…… 此外，操作器还会在该命名空间内创建角色绑定（RoleBinding）和角色（Role）。”

一旦操作器处理了这个恶意自定义资源，就会在不知情的情况下，授予攻击者的服务账户访问目标命名空间的权限。

该漏洞引发的后果极具毁灭性：

该漏洞从根本上破坏了 Kubernetes 多租户架构的隔离模型。漏洞报告的结论强调：“在我看来，这无疑是一项严重的安全隐患 —— 仅需一名命名空间管理员，就能实现对整个集群的接管。”

强烈建议管理员立即核查自身 OpenShift GitOps 操作器的版本，并安装最新的安全补丁。此外，将创建 ArgoCD 自定义资源的权限仅开放给受信任的集群管理员，也可作为一种临时缓解措施。