Se ha identificado una vulnerabilidad en el producto Kubernetes Image Builder. Un actor malicioso remoto podría explotarla para provocar una elevación de privilegios o la omisión de la autenticación en el sistema objetivo.
Productos afectados
- versiones anteriores a v0.1.45
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-7342: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad que podría permitir a un actor malicioso no autorizado acceder mediante ssh/RDP/WINRM a una máquina virtual de un nodo de Windows que utiliza una imagen de máquina virtual creada con el proyecto Kubernetes Image Builder.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://discuss.kubernetes.io/t/security-advisory-cve-2025-7342-vm-images-built-with-kubernetes-image-builder-nutanix-or-ova-providers-use-default-credentials-for-windows-images-if-user-did-not-override/32778
- https://github.com/kubernetes/kubernetes/issues/133115
- https://www.cve.org/CVERecord?id=CVE-2025-7342