文章总结： 360漏洞研究院披露并复现OpenShiftGitOpsOperatorCVE-2025-13888跨命名空间RBAC越权漏洞：低权限用户利用spec.sourceNamespaces诱导Operator在目标命名空间自动创建高权限Role与RoleBinding，实现集群级权限提升；影响ArgoCDOperatorv0.6.0+及OpenShiftGitOps1.16-1.18，官方已发布RHSA-2025:23203等修复版本，建议立即升级并同步上游补丁commit25c4844ce08bac2ac3afa7570afedc265bc37611阻断攻击 综合评分： 92 文章分类： 漏洞预警,云安全,权限提升,容器安全,安全建设

【已复现】OpenShift GitOps Operator 跨命名空间 RBAC 越权漏洞(CVE-2025-13888)

原创

360漏洞研究院

360漏洞研究院

2025年12月23日 17:40 四川

“扫描下方二维码，进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与！”

| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | OpenShift GitOps Operator 跨命名空间 RBAC 越权漏洞 | | | | 漏洞编号 | CVE-2025-13888 | | | | 公开时间 | 2025-12-15 | POC状态 | 未公开 | | 漏洞类型 | 权限提升 | EXP状态 | 未公开 | | 利用可能性 | 高 | 技术细节状态 | 未公开 | | CVSS 3.1 | 9.1 | 在野利用状态 | 未发现 |

01

影响组件

漏洞存在于 OpenShift GitOps Operator 处理 ArgoCD 自定义资源（CR）的控制器代码中。受影响组件包括：

• OpenShift GitOps Operator：企业级集成框架。
• ArgoCD Operator：具体负责逻辑解析的集成组件。
• RBAC 自动生成机制：具备集群级权限，可在各命名空间自动创建 Role 及 RoleBinding。

该组件以高权限运行，但缺乏跨命名空间操作的严格校验，导致攻击者可诱导 Operator 在目标命名空间内非法提升权限。

02

漏洞描述

近日，Red Hat 披露了 OpenShift GitOps Operator 跨命名空间 RBAC 越权漏洞（CVE-2025-13888）。

OpenShift GitOps Operator 在处理 ArgoCD 自定义资源（CR）时，允许普通命名空间管理员通过在 CR 中指定 spec.sourceNamespaces 字段来创建 ArgoCD 实例。由于 Operator 在处理跨命名空间资源管理时未实施充分的权限校验，从而引入了典型的混淆代理（Confused Deputy）攻击场景：

权限越权授予：Operator 会在目标命名空间中自动添加管理标签，并创建授予高风险权限（如 batch/jobs 和 cronjobs 的创建与更新）的 Role 及对应的 RoleBinding。

越权控制流：利用 Operator 的集群级权限，攻击者仅需具备单一命名空间的管理权限，即可间接获得在其他命名空间（如 default）部署工作负载的能力。

危害放大：在默认配置中，default 等共享命名空间通常具备更高的安全上下文能力，该漏洞可进一步放大为集群级接管风险。

03

漏洞复现

360 漏洞研究院在 Fedora 43 环境下成功复现了 OpenShift GitOps Operator 的跨命名空间 RBAC 越权漏洞（CVE-2025-13888）。复现环境基于 Podman 容器运行时与 Kind (v1.31.0) 搭建，并集成了存在缺陷的 ArgoCD Operator (v0.10.0)。实验证实，攻击者可利用该缺陷绕过命名空间隔离，最终实现集群层级的权限提升。

CVE-2025-13888 OpenShift GitOps Operator 跨命名空间 RBAC 越权漏洞复现

04

漏洞影响范围

1. 上游社区版本漏洞引入时间：

Commit: 0e3ccd56e27ad1ccc0405ecca6b6fe9fc41b35ce

Date: Wed Nov 16 12:58:42 2022 -0500

2. 受影响版本：

• ArgoCD Operator: v0.6.0 及以上（包含 sourceNamespaces 功能的所有版本）
• Red Hat OpenShift GitOps: 1.16–1.18 为官方确认受影响版本；基于功能引入时间分析，1.6–1.15 版本可能同样受影响，但上述版本已超出 Red Hat 官方维护与支持范围，不再提供安全更新，建议升级至受支持的已修复版本。

05

修复建议

正式防护方案

1. 升级到已修复版本：

• Red Hat OpenShift GitOps 1.16: 已通过安全公告 RHSA-2025:23207 修复
• Red Hat OpenShift GitOps 1.17: 已通过安全公告 RHSA-2025:23206 修复
• Red Hat OpenShift GitOps 1.18: 已通过安全公告 RHSA-2025:23203 修复

1. 上游社区版本修复：

确保合入补丁：commit 25c4844ce08bac2ac3afa7570afedc265bc37611

补丁信息：

06

时间线

2025年12月23日，360漏洞研究院发布本安全风险通告。

07

参考链接

https://access.redhat.com/security/cve/cve-2025-13888

https://nvd.nist.gov/vuln/detail/CVE-2025-13888

08

更多漏洞情报

建议您订阅360数字安全-漏洞情报服务，获取更多漏洞情报详情以及处置建议，让您的企业远离漏洞威胁。

邮箱：[email protected]

网址：https://vi.loudongyun.360.net

“洞”悉网络威胁，守护数字安全

关于我们

360 漏洞研究院，隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”，并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个，收获诸多官方公开致谢。研究院也屡次受邀在BlackHat，Usenix Security，Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果，并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力，帮助各大企业厂商不断完善系统安全，为数字安全保驾护航，筑造数字时代的安全堡垒。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360漏洞研究院 《【已复现】OpenShift GitOps Operator 跨命名空间 RBAC 越权漏洞(CVE-2025-13888)》