Уязвимость BDU:2025-15408

Идентификатор: BDU:2025-15408.

Наименование уязвимости: Уязвимость плагина out_file инструмента для сбора и обработки логов Fluent Bit, позволяющая нарушителю записать произвольный файл за пределами целевой директории.

Описание уязвимости: Уязвимость плагина out_file инструмента для сбора и обработки логов Fluent Bit связана с неверным ограничением имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записать произвольный файл за пределами целевой директории
Уязвимое ПО: Прикладное ПО информационных систем Treasure Data, Inc. Fluent Bit 4.1.0 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 23.11.2025.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:P/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,3)

Возможные меры по устранению:
Использование рекомендаций:
https://fluentbit.io/blog/2025/10/28/security-vulnerabilities-addressed-in-fluent-bit-v4.1-and-backported-to-v4.0/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-12972.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://fluentbit.io/blog/2025/10/28/security-vulnerabilities-addressed-in-fluent-bit-v4.1-and-backported-to-v4.0/
https://www.oligo.security/blog/critical-vulnerabilities-in-fluent-bit-expose-cloud-environments-to-remote-takeover