В платформе OpenShift AI Service, позволяющей организовать работу кластера для выполнения и обучения AI-моделей, выявлена уязвимость (CVE-2025-10725), позволяющая непривилегированному пользователю получить права администратора кластера. После успешной атаки злоумышленник получает возможность управления кластером, полный доступ ко всем сервисам, данным и запускаемым в кластере приложениям, а также root-доступ к узлам кластера.
Для проведения атаки достаточно любого непривилегированного аутентифицированного доступа к платформе, например, атаку может провести подключённый OpenShift AI к исследователь AI, использующий Jupyter notebook. Проблеме присвоен критический уровень опасности – 9.9 из 10.
Уязвимость вызвана некорректным назначением роли “kueue-batch-user-role”, которая по ошибке оказалась привязана к группе “system:authenticated”, что позволяло любому пользователю сервиса создать работу (OpenShift Job) в любом пространстве имён. Среди прочего любой пользователь мог создать работу в привилегированном пространстве имён “openshift-apiserver-operator” и настроить её запуск с привилегиями ServiceAccount.
В окружении для выполнения кода с привилегиями ServiceAccount доступен токен доступа с правами ServiceAccount, который атакующий мог извлечь и использовать для компрометации более привилегированных учётных записей. В конечном счёте, атаку можно было довести до получения root-доступа к master-узлам, после чего атакующий получал возможность полного управления всем содержимым кластера.