Er is een kritiek lek ontdekt in de Bitnami Helm charts waardoor gevoelige Kubernetes Secrets zonder authenticatie toegankelijk kunnen worden gemaakt via HTTP/S. Deze kwetsbaarheid, CVE-2025-41240, kan worden uitgebuit door aanvallers om toegang te verkrijgen tot alle getroffen systemen waar de standaardinstelling usePasswordFiles=true in gebruik is.
De kwetsbaarheid betreft drie specifieke Bitnami Helm charts: appsmith, drupal en wordpress. De kwetsbare versies zijn respectievelijk 21.2.0, 5.2.0 en 24.2.0. Updates naar versie 22.0.4, 6.0.19 en 25.0.4 lossen het probleem op.
Overzicht
De kwetsbaarheid ontstaat doordat Kubernetes Secrets worden gemount op een voorspelbaar pad binnen de root van de webserver, namelijk /opt/bitnami/*/secrets. Dit kan ervoor zorgen dat gevoelige informatie zoals wachtwoorden toegankelijk worden voor onbevoegden. Aangezien de aanval vector netwerk-gebaseerd is, kan een aanvaller op afstand zonder gebruikersinteractie toegang tot deze data verkrijgen.
Aanbevelingen
- Werk uw Bitnami Helm charts bij naar de nieuwste versie om de kwetsbaarheid te verhelpen.
- Zorg ervoor dat de instelling
usePasswordFiles=falseis in uw configuraties indien mogelijk.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-41240?
CVE-2025-41240 is een beveiligingslek dat misbruik maakt van voorspelbare paden voor Kubernetes Secrets in Bitnami Helm charts.
Welke systemen zijn kwetsbaar voor CVE-2025-41240?
De kwetsbare systemen betreffen Bitnami Helm charts voor appsmith, drupal en wordpress. Specifiek de versies tot en met 22.0.4, 6.0.19 en 25.0.4.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt aangeraden om te updaten naar de versies 22.0.4 voor appsmith, 6.0.19 voor drupal en 25.0.4 voor wordpress.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan, zonder uw weten, toegang krijgen tot vertrouwelijke gegevens zoals wachtwoorden en configuraties door specifieke URL’s te benaderen die deze Secrets ongeautoriseerd toegankelijk maken.
