FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

SUSE Rancher安全团队针对开源容器安全平台NeuVector发布重大安全公告。该漏洞编号为CVE-2025-8077，CVSS评分为9.8分，若未及时修复将导致Kubernetes集群面临完全被攻陷的风险。

漏洞背景

NeuVector是一款遵循零信任原则的开源容器安全平台，专为Kubernetes环境提供端到端安全防护，集成了漏洞扫描、合规性检查及深度数据包检测功能，可在不依赖预定义特征的情况下阻止未授权网络流量。

漏洞详情

该漏洞源于系统使用弱密码硬编码凭证。安全公告指出："NeuVector 5.4.5及更早版本存在漏洞，内置管理员账户使用固定字符串作为默认密码。若部署后未立即修改该密码，集群内任何具有网络访问权限的工作负载均可利用默认凭证获取认证令牌。"

攻击者一旦获取该令牌，即可调用NeuVector API执行任意管理操作，从而完全控制安全平台，破坏整个Kubernetes环境的防护体系。

缓解措施演进

早期版本曾尝试通过Kubernetes Secret（neuvector-bootstrap-secret）设置引导密码来缓解风险。但公告特别警告："若NeuVector无法获取该值，系统将回退使用固定的默认密码。"

修复方案

该漏洞已在NeuVector 5.4.6及后续版本中修复。新版引入Kubernetes RBAC（基于角色的访问控制）权限机制，确保通过Secret安全管理引导密码。公告强调："通过Helm部署时这些RBAC角色会自动应用。若手动部署或升级，必须在启动NeuVector前创建这些角色。若角色缺失，NeuVector控制器（5.4.6版起）将无法启动。"

应急处置建议

对于仍在使用受影响版本的用户，公告建议立即采取手动干预措施："部署完成后请立即登录NeuVector管理界面更新默认管理员密码。"

参考来源：

CVE-2025-8077 (CVSS 9.8): CRITICAL Flaw in NeuVector Exposes Kubernetes Clusters to Full Takeover

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）