In SUSE Virtualization (Harvester) wurde eine kritische Sicherheitslücke identifiziert, die unautorisierten SSH-Zugriff auf Hosts ermöglicht. Betroffen sind die Versionen 1.5.x und 1.6.x, sofern der interaktive Installer zur Erstellung eines neuen Clusters oder zum Hinzufügen weiterer Hosts genutzt wird. Die Schwachstelle wird unter CVE-2025-62877 geführt und mit einem CVSS-Score von 9.8 als kritisch eingestuft.
Ursache ist ein im Betriebssystem vorhandenes Standard-Administratorkennwort, das eigentlich nur für Out-of-Band-Management vorgesehen ist. Der interaktive Installer aktiviert jedoch bereits die Netzwerkschnittstellen, bevor dieses Default-Passwort geändert wird. In diesem Zeitfenster können Angreifer das bekannte Passwort ausnutzen und sich ohne Authentifizierung per SSH Zugriff auf den Host verschaffen.
Nicht betroffen sind Installationen, die über PXE-Boot mit einer vordefinierten Konfigurationsdatei durchgeführt wurden. Ein Patch ist erst ab SUSE Virtualization 1.7.0 verfügbar. Frühere Versionen erhalten keine Korrektur.
SUSE empfiehlt dringend ein Upgrade auf Version 1.7.x oder alternativ den Einsatz von PXE-Installationen mit vorab gesetztem sicheren Passwort. Zusätzlich sollten während der Installation Netzwerkzugriffe, insbesondere auf Port 22, strikt eingeschränkt werden.
