从这个网页截图中可以获取到以下关于漏洞的关键信息: 漏洞概述 标题: Unrestricted access to all Secrets in the same Kubernetes namespace from Kafka Connect and MirrorMaker 2 operands 发布者: scholzj 发布日期: 4 hours ago CVE ID: CVE-2025-66623 CVSS v3 基础评分: 7.4 漏洞细节 受影响的包: Strimzi Cluster Operator 受影响的版本: >= 0.47.0 修复版本: 0.49.1 描述与影响 Strimzi 在某些情况下创建了一个错误的 Kubernetes Role,该角色授予 Apache Kafka Connect 和 Apache Kafka MirrorMaker 2 操作员能够从给定的 Kubernetes 命名空间获取所有 Kubernetes Secret 的权限。具体发生这种情况的情境包括: 当部署 Apache Kafka Connect 时,至少以下机制之一未配置: - TLS 加密,配置了可信证书(未配置 ) - mTLS 身份验证(未配置 中的 ) - TLS 加密,配置了可信证书,适用于类型为 oauth 身份验证(未配置 ) 当部署 Apache Kafka MirrorMaker2 时,目标集群至少以下机制之一未配置: - TLS 加密,配置了可信证书(未配置 ) - mTLS 身份验证(未配置 中的 ) - TLS 加密,配置了可信证书,适用于类型为 oauth 身份验证(未配置 ) - 针对目标集群的 TLS 加密,配置了可信证书(未配置 在目标集群的 KafkaConnect CR 中) - 针对目标集群的 mTLS 身份验证(未配置 中的 ) - 针对目标集群的 TLS 加密,配置了可信证书,适用于类型为 oauth 身份验证(未配置 在目标集群的 KafkaConnect CR 中) 当上面提到的配置操作符在 Strimzi 版本 >= 0.47.0 和 <= 0.49.0 中部署,并且使用它们的服务帐户进行身份验证的任何代码都可能能够从同一命名空间中的任何 Kubernetes Secret 执行 GET 操作。这可以通过执行第3方工具或直接从 Kafka Connect 代码的配置提供程序或 HTTP 连接器完成。 修复与解决 修复: 该问题在 Strimzi 0.49.1 中得到解决。 变通方法: 当使用受影响的操作员和受影响的配置时,没有变通方法。 弱点 CWE: CWE-200, CWE-863 贡献者 报告者: scholzj 修复审查者: ppatierno, im-konge