1./ Tổng quan và phân tích.
Lỗ hổng bảo mật CVE-2025-53547 trong Helm project – trình quản lý gói phổ biến của Kubernetes có mức độ nghiêm trọng cao cho phép thực thi mã cục bộ trong quá trình cập nhật các phụ thuộc của chart. Với điểm CVSS là 8.5, lỗ hổng này ảnh hưởng đến người dùng Helm đang sử dụng các phiên bản từ 3.18.3 trở xuống, và đã được vá trong phiên bản v3.18.4.
Helm thông báo trong khuyến cáo bảo mật của mình như sau: Một tệp Chart.yaml được tạo đặc biệt cùng với một tệp Chart.lock được liên kết đặc biệt có thể dẫn đến thực thi mã cục bộ khi cập nhật các phụ thuộc.
Cốt lõi của vấn đề nằm ở cách Helm xử lý metadata của chart trong quá trình cập nhật phụ thuộc. Tệp Chart.yaml chứa các trường dữ liệu được chuyển sang Chart.lock khi thực hiện lệnh helm dependency update. Tuy nhiên, nếu kẻ tấn công cung cấp nội dung YAML độc hại và liên kết Chart.lock tới một tệp thực thi nhạy cảm (ví dụ như .bashrc hoặc một shell script), quá trình cập nhật có thể vô tình ghi đè nội dung của tệp được liên kết bằng dữ liệu do kẻ tấn công kiểm soát.
Nếu tệp Chart.lock được liên kết tượng trưng (symlink) tới một trong các tệp nhạy cảm này, quá trình cập nhật phụ thuộc sẽ ghi nội dung của lock file vào tệp được liên kết. Điều này có thể dẫn đến việc thực thi ngoài ý muốn. => Lỗ hổng này có thể dẫn đến thực thi mã tùy ý trong môi trường cục bộ của người dùng — đặc biệt nguy hiểm đối với các nhà phát triển sử dụng Helm trong quy trình DevOps tự động hoặc công cụ CI/CD.
2./ Khuyến nghị và chi tiết các bản cập nhật
**Khuyến nghị giảm thiểu rủi ro
- Để giảm thiểu ảnh hưởng bởi lỗ hổng bảo mật người dùng nên cập nhật Helm lên phiên bản theo bảng dưới đây để bảo vệ khỏi lỗ hổng này.
| STT | Tên lỗ hổng | Phiên bản ảnh hưởng | Phiên bản cần nâng cấp |
| 1 | CVE-2025-53547 | ≤ 3.18.3 | >= v3.18.4 |
Trong phiên bản đã được vá, Helm không còn theo dõi các liên kết tượng trưng (symbolic links) khi ghi tệp Chart.lock, qua đó giảm thiểu nguy cơ thực thi mã ngoài ý muốn.
**Một số nguồn tham khảo:
