5

CVE-2025-12103

EPSS 0.03%
Veröffentlicht 28.10.2025 13:31:59
Zuletzt bearbeitet 12.11.2025 17:15:36
Quelle secalert@redhat.com
CVE-Watchlists
Login
Unerledigt
Login

A flaw was found in Red Hat Openshift AI Service. The TrustyAI component is granting all service accounts and users on a cluster permissions to  get, list, watch any pod in any namespace on the cluster.

TrustyAI is creating a role `trustyai-service-operator-lmeval-user-role` and a CRB `trustyai-service-operator-default-lmeval-user-rolebinding` which is being applied to `system:authenticated` making it so that every single user or service account can get a list of pods running in any namespace on the cluster 

Additionally users can access all `persistentvolumeclaims` and `lmevaljobs`

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 6

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).

HerstellerRed Hat

≫

Produkt Red Hat OpenShift AI 3.0

Default Statusaffected

Version < *

Version sha256:43322a7cecd6fe3309faa160bf92d88518c23b98c6467e5e868a9dbdd3f16b36

Status unaffected

HerstellerRed Hat

≫

Produkt Red Hat OpenShift AI (RHOAI)

Default Statusaffected

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.03%	0.063

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
secalert@redhat.com	5	3.1	1.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N

CWE-266 Incorrect Privilege Assignment

A product incorrectly assigns a privilege to a particular actor, creating an unintended sphere of control for that actor.

https://access.redhat.com/security/cve/CVE-2025-12103

https://bugzilla.redhat.com/show_bug.cgi?id=2405966

https://access.redhat.com/errata/RHSA-2025:21117

https://nvd.nist.gov/vuln/detail/CVE-2025-12103

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2025-12103

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2025-12103

EUVD