Passer au contenu principal

Politique d’approbation trop permissive dans Harmonix sur AWS EKS

ID du bulletin : AWS-2025-031
Étendue : AWS
Type de contenu : informatif
Date de publication : 15/12/2025 à 11 h 45 (heure standard du Pacifique)


Description :

Harmonix sur AWS est une architecture de référence open source et la mise en œuvre d’une plateforme de développement qui étend le projet CNCF Backstage. Nous avons identifié le CVE-2025-14503 où une politique d’approbation IAM trop permissive dans le cadre Harmonix sur AWS peut permettre aux utilisateurs authentifiés d’augmenter leurs privilèges en assumant un rôle. L’exemple de code pour le rôle de provisionnement de l’environnement EKS est configuré pour approuver le principal racine du compte, ce qui peut permettre à tout principal de compte disposant des autorisations sts:AssumeRole d’endosser le rôle avec des privilèges administratifs.

Versions concernées : v0.3.0 à v0.4.1

Résolution :

Ce problème a été résolu dans Harmonix sur AWS version 0.4.2. Nous recommandons de mettre à jour vers la dernière version et de veiller à ce que tout code bifurqué ou dérivé soit corrigé pour intégrer les nouveaux correctifs.

Solutions de contournement :

Si vous ne pouvez pas effectuer immédiatement la mise à niveau vers la version 0.4.2 ou ultérieure, nous vous recommandons de revoir et de restreindre les politiques d’approbation IAM dans votre déploiement Harmonix sur AWS, en vous concentrant en particulier sur le rôle de provisionnement de l’environnement EKS pour vous assurer qu’il n’approuve pas le principal racine du compte. Le rôle de provisionnement extrait de l’exemple de code se trouve dans la console IAM et aura le modèle de nom suivant :

    *-eks-*-provisioning-role

Les événements CloudTrail peuvent être examinés et surveillés pour les noms d’événements « AssumeRole » où le champ requestParameters.roleArn inclut l’ARN du rôle de provisionnement.

Références :

Remerciements :

Nous tenons à remercier le chercheur en sécurité r00tdaddy pour sa collaboration dans la résolution de ce problème, via un processus de divulgation coordonnée de vulnérabilité.
 

Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.