Étudiante en informatique - Développement d'applications

Contact
Contact

Vulnérabilité d’accès non autorisé dans l’API de Karmada Dashboard

CYBER

a white dice with a black github logo on it
a white dice with a black github logo on it

Résumé

Sur le tableau de bord de karmada, une vulnérabilité critique a été détecté.

Pour commencer Kamada est un outil open, source qui facilite la gestion de plusieurs cluster kubernetes et tout ça, à partir d’une seule et unique interface.

Cette faille est d’une très grande importance car elle offrait a des utilisateurs non identifié la possibilité d’accéder directement à des données sensibles du cluster comme les secrets et les Services.

Le tout possible en utilisant certains points d’entrée de l’Api comme par exemple /api/v1/secret, /api/v1/service.

Même si l’interface utilisateur Web nécessité un JWT valide pour l’accès, l’API quant à elle est restée en première ligne exposée aux demandes directes. Le tout sans aucune vérification d’authentification.

Le problème a été résolu dans la mise à jour Karmada Dashboard v0.2.0.

Dans cette dernière, l’authentification pour tous les points de terminaison de l’Api est effectif.

(Version de Karmada Dashboard v0.2.0 : https://github.com/karmada-io/dashboard/releases/tag/v0.2.0

Correction de la PR #271/Correction PR #280)

Si la mise à jour n’est pas réalisable sur le moment, tous les utilisateurs sont invités à restreindre l’accès au réseau au service karmada Dashboard à l’aide de la politique réseaux Kubernetes, de règles de par feu ou de contrôle d’accès.

il est aussi préconisé de placer le tableau de bord derrière un Proxi inverse qui applique l’authentification ( exemple proxy OAuth2 ) pour ajouter de la sécurité en plus.

Mon analyse personnelle :

Cette faille met en évidence les dangers associés à une mauvaise administration de la sécurité des API.
Bien que l'interface principale d'une application soit sécurisée, une vulnérabilité dans l'API backend pourrait mettre en péril tout le système.

Dans ma préparation à devenir développeuse, cette veille m'a appris :

- L'importance de contrôler l'authentification sur chaque point d'accès serveur,

- La nécessité d'effectuer des tests de sécurité applicative avant mise en production,

- L'utilité de consulter les alertes de sécurité GitHub (GHSA, CVE) concernant les bibliothèques ou frameworks que j'emploie

dans mes projets.


Cette veille me rend consciente des meilleures pratiques du DevSecOps : incorporer la sécurité dès la phase de développement,

particulièrement dans les contextes Kubernetes et cloud.

Mots Clefs

Karmada

Kubernetes

CVE-2025-62714

API

Vulnérabilité

GitHub

Authentification

Open source

Sources

Identifiant GHSA : GHSA-5qjg-9mjh-4r92

“Vulnérabilité d’accès non autorisé de l’API du tableau de bord de Karmada”

https://github.com/karmada-io/dashboard/security/advisories/GHSA-5qjg-9mjh-4r92

Auteur : RainbowMango – Mainteneur du projet Karmada-io (GitHub Security Advisory)

Date de publication : 24 octobre 2025

Gravité : Critique – CWE-862 (Absence de contrôle d’autorisation)

Politique de confidentialité/Mention légal

© 2025. All rights reserved.

Accueil
Projets
Contact
Formation
Veille
À Propos