Kritisk sårbarhed i Fluent Bit
Der er observeret en kritisk og flere alvorlige sårbarheder i Fluent Bit. Succesfuld udnyttelse af sårbarhederne kunne gøre det muligt for ondsindet aktører at forstyrre cloudtjenester, manipulere data og trænge dybere ind i cloud- og Kubernetes-nfrastruktur.
Sårbarhederne har id’erne EUVD-2025-198811 / CVE-2025-12977 og EUVD-2025-198809 / CVE-2025-12970. CVSS-scoren er hhv. 9,1 og 8,8. EPSS-scoren er pt. 0.
Der er fundet yderligere tre sårbarheder med lavere CVSS-score. De er omtalt i The Hacker News, der har en teknisk beskrivelse af sagen.
Fluent Bit – bruges til alt
Fluent Bit, et open source-værktøj til indsamling, behandling og videresendelse af logs, er den stille budbringer i moderne databehandling. Det er indlejret i milliarder af containere og er blevet implementeret mere end 15 milliarder gange, med over 4 millioner downloads alene i løbet af den seneste uge. Det kører overalt: AI-laboratorier, banker, bilproducenter, alle de store cloud-udbydere som AWS, Google Cloud og Microsoft Azure m.m.
De berørte systemer er FluentBit - 4.1.0 og tidligere versioner
Den mest alvorlige sårbarhed EUVD-2025-198811 ligger i Fluent Bit in_http, in_splunk og in_elasticsearch input-plugins, der ikke formår at rense tag_key-inputs. En ondsindet aktør med netværksadgang eller evnen til at skrive poster ind i Splunk eller Elasticsearch kan levere tag_key-værdier, der indeholder specialtegn såsom linjeskift eller ../, som behandles som gyldige tags.
Da tags påvirker routing, og nogle outputs afleder filnavne eller indhold fra tags, kan dette tillade linjeskiftinjektion, path traversal, forfalsket postinjektion eller fejlroutering af logs, hvilket påvirker dataintegriteten og log-routing.
Den næstmest alvorlige sårbarhed, EUVD-2025-198809, vedrører funktionen extract_name i Fluent Bit in_docker input plugin. Her kopieres container-navne ind i en stakbuffer med fast størrelse uden at længden kontrolleres. En ondsindet aktør, der kan oprette containere eller kontrollere container-navne, kan levere et langt navn, der overskrider bufferen, hvilket kan føre til processnedbrud eller vilkårlig kodeudførelse.
Det anbefales at opdatere sårbare installationer med det samme, jf. producentens anvisninger.