Red Hat OpenShift AI, ölçeklenebilir hibrit bulut altyapılarında yapay zeka modellerinin yaşam döngüsünü yönetmek üzere tasarlanmış bir platformdur. Ancak CVE-2025-10725 kodlu kritik bir güvenlik açığı, kimlik doğrulaması yapılmış kullanıcıların ayrıcalıklarını küme yöneticisi seviyesine yükseltmesine olanak tanıyor.
Açığın Teknik Detayları
Bu zafiyet, aşırı izinlere sahip bir ClusterRole’den kaynaklanmakta ve kimlik doğrulaması yapılmış düşük ayrıcalıklı kullanıcıların OpenShift İşleri oluşturmasına izin veriyor. Saldırganlar, bu izinleri kötüye kullanarak yüksek ayrıcalıklı ServiceAccount’lar ile çalışan kötü amaçlı işler planlayabilir ve ServiceAccount belirteçlerini ele geçirerek kademeli olarak root erişimi elde edebilirler.
Risk ve Etkileri
Red Hat tarafından “Önemli” olarak sınıflandırılan bu açık, saldırganların küme gizliliğini, bütünlüğünü ve erişilebilirliğini tamamen tehlikeye atmasına neden olabilir. Hassas verilerin sızdırılması, hizmetlerin aksatılması ve altyapının tam kontrolünün ele geçirilmesi gibi ciddi sonuçlar doğurabilir.
Etkilenen Sürümler ve Hafifletme Önerileri
Red Hat OpenShift AI 2.16, 2.19, 2.21 ve 2.22 sürümleri bu açıktan etkilenmektedir. Red Hat, özellikle 2.16.3 sürümüne yükseltme mümkün değilse, Kueue bileşen yönetim durumunun “Removed” olarak ayarlanmasını ve operatörün kueue-batch-user-rolebinding yönetiminin engellenmesini öneriyor. Ayrıca, ClusterRoleBinding’in devre dışı bırakılması ve sonrasında kaldırılması tavsiye edilmektedir.