В платформе OpenShift AI Service, позволяющей организовать работу кластера для выполнения и обучения AI-моделей, выявлена уязвимость (CVE-2025-10725), позволяющая непривилегированному пользователю получить права администратора кластера. После успешной атаки злоумышленник получает возможность управления кластером, полный доступ ко всем сервисам, данным и запускаемым в кластере приложениям, а также root-доступ к узлам кластера.

Для проведения атаки достаточно любого непривилегированного аутентифицированного доступа к платформе, например, атаку может провести подключённый OpenShift AI к исследователь AI, использующий Jupyter notebook. Проблеме присвоен критический уровень опасности — 9.9 из 10.

Уязвимость вызвана некорректным назначением роли «kueue-batch-user-role», которая по ошибке оказалась привязана к группе «system:authenticated», что позволяло любому пользователю сервиса создать работу (OpenShift Job) в любом пространстве имён. Среди прочего любой пользователь мог создать работу в привилегированном пространстве имён «openshift-apiserver-operator» и настроить её запуск с привилегиями ServiceAccount.

В окружении для выполнения кода с привилегиями ServiceAccount доступен токен доступа с правами ServiceAccount, который атакующий мог извлечь и использовать для компрометации более привилегированных учётных записей. В конечном счёте, атаку можно было довести до получения root-доступа к master-узлам, после чего атакующий получал возможность полного управления всем содержимым кластера.

Источник: http://www.opennet.ru/opennews/art.shtml?num=63991