Kritische RCE-Lücke in Eclipse Che von Red Hat: CVE-2025-12548
⚠️ CVE-Referenzen:
CVE-2025-12548
Zusammenfassung
In der che-machine-exec-Komponente von Eclipse Che wurde eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht, unberechtigten Remotezugriff und Befehlsausführung zu erlangen. Dadurch können sensible Daten wie SSH-Schlüssel und Token aus den Entwicklerworkspaces anderer Nutzer abgeflossen werden. Die Ursache ist eine ungeschützte JSON-RPC/Websocket-API, die über den TCP-Port 3333 erreichbar ist. Sorgfältige Überwachung und Gegenmaßnahmen sind erforderlich, um die Risiken dieser Schwachstelle (CVE-2025-12548) zu mindern.
Red Hat - Red Hat Openshift Dev Spaces (rhosds) 3.22 - CRITICAL - CVE-2025-12548.
A security weakness exists in Eclipse Che's che-machine-exec component. This flaw permits unauthorized remote execution of commands and potential exfiltration of sensitive secrets, such as SSH keys and tokens, from the Developer Workspace containers of other users. The issue arises from an unprotected JSON-RPC/websocket API accessible through TCP port 3333. Proper safeguards and monitoring are crucial to mitigate the risks associated with this vulnerability.
Quelle: securityvulnerability.io