レッドハットのRed Hat Advanced Cluster Management for Kubernetesにおける不適切なデフォルトパーミッションに関する脆弱性

JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-014265 レッドハットのRed Hat Advanced Cluster Management for Kubernetesにおける不適切なデフォルトパーミッションに関する脆弱性特定のMulticluster Engine for Kubernetesイメージにコンテナ権限昇格の脆弱性が発見されました。この問題は、ビルド時に/etc/passwdファイルがグループ書き込み可能な権限で作成されることが原因です。特定の条件下で、影響を受けるコンテナ内でコマンドを実行できる攻撃者は、非rootユーザーであってもrootグループのメンバーシップを利用して/etc/passwdファイルを変更できます。これにより、攻撃者は任意のUID（UID 0を含む）を持つ新しいユーザーを追加し、コンテナ内で完全なroot権限を取得する可能性があります。 cpe:/a:redhat:advanced_cluster_management_for_kubernetes https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-014265.html Common Vulnerabilities and Exposures (CVE) CVE-2025-57851 https://www.cve.org/CVERecord?id=CVE-2025-57851 National Vulnerability Database (NVD) CVE-2025-57851 https://nvd.nist.gov/vuln/detail/CVE-2025-57851 Red Hat Customer Portal CVE-2025-57851 - Red Hat Customer Portal https://access.redhat.com/security/cve/CVE-2025-57851 JVNDB CWE-276 不適切なデフォルトパーミッション https://cwe.mitre.org/data/definitions/276.html Red Hat Bugzilla 2391104 (CVE-2025-57851) CVE-2025-57851 mce: privilege escalation via excessive /etc/passwd permissions https://bugzilla.redhat.com/show_bug.cgi?id=2391104 2026-05-07T12:07:03+09:00 2026-05-07T12:07:03+09:00