Kubernetes向けWeb UI「Headlamp」に認証情報キャッシュの脆弱性(CVE-2025-14269)

セキュリティニュース

投稿日時: 更新日時:

Kubernetes向けWeb UI「Headlamp」に認証情報キャッシュの脆弱性(CVE-2025-14269)

Kubernetes 向けの拡張可能な Web UI「Headlamp(ヘッドランプ)」の in-cluster 版で、未認証ユーザーがHelm機能の操作に使われる認証情報を使い回せてしまう可能性がある脆弱性 CVE-2025-14269 が報告されました。深刻度は CVSS 8.8(High) とされており、条件が揃うと、Helm を通じたデプロイや変更、削除といったクラスタ運用に直結する操作が、ログインなしで実行され得る点が問題視されています。

影響を受けるバージョンと修正バージョン

  • 影響を受けるバージョン:Headlamp v0.38.0 以前

  • 修正版(対策バージョン):Headlamp v0.39.0

概要

Headlamp は Kubernetes のダッシュボード的な使い方に加え、Helm(Kubernetesのパッケージマネージャ)連携を含む拡張機能を提供します。今回の問題は、この Helm連携時のセッション管理/認証情報の扱いにあります。

指摘されているのは、正規ユーザー(権限を持つ利用者)がHeadlamp上でHelm機能を使った後に、Helmアクセス用の資格情報が不適切にキャッシュされ、後からアクセスした未認証ユーザーがそのキャッシュを再利用できてしまう可能性です。

影響が出る条件

脆弱性が成立するには、条件の組み合わせが必要です。公開情報では、少なくとも次の要件が揃うクラスタが影響を受け得るとされています。

  • Headlamp が in-cluster 版として導入されている(デスクトップ版は対象外)

  • 設定で config.enableHelm: true として Helm 機能が有効

  • その環境で 権限を持つユーザーが過去にHelm機能へアクセスしている

この状態で、Headlamp のUIにネットワーク的に到達できる第三者がいると、未認証のまま Helm リリースを操作できる可能性が生じます。