Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Rilevato set di vulnerabilità in Fluentbit (AL01/251126/CSIRT-ITA)

Data:
26 Novembre 2025

Impatto Sistemico

Alto (65.51)

Sintesi

Rilevato recentemente un set di 5 vulnerabilità in Fluent Bit, agente open-source di logging e telemetria largamente utilizzato in infrastrutture cloud come AWS, Microsoft Azure e ambienti Kubernetes. Le vulnerabilità, legate principalmente alla gestione e validazione dei tag, risultano sfruttabili da remoto e potrebbero esporre gli ambienti cloud e containerizzati a eventuali compromissioni e alla manomissione dei dati di telemetria.

Tipologia

  • Authentication Bypass
  • Arbitrary File Write
  • Data Manipulation
  • Denial of Service
  • Remote Code Execution
  • Security Restrictions Bypass

Descrizione e potenziali impatti

Rilevato recentemente un set di 5 vulnerabilità in Fluent Bit, agente open-source di logging e telemetria largamente utilizzato in infrastrutture cloud come AWS, Microsoft Azure e ambienti Kubernetes. Le vulnerabilità, legate principalmente alla gestione e validazione dei tag, risultano sfruttabili da remoto e potrebbero esporre gli ambienti cloud e containerizzati a eventuali compromissioni e alla manomissione dei dati di telemetria. Di seguito il dettaglio tecnico delle vulnerabilità:

CVE-2025-12972

Vulnerabilità di tipo “Path Traversal”, con score CVSS 3.x pari a 5.3, che riguarda il plugin out_file di Fluent Bit. La vulnerabilità è dovuta alla mancata sanitizzazione dei tag provenienti dai log in ingresso, che consentirebbe dunque l’uso di caratteri di path traversal nel tag per modificare il percorso e il nome del file. Tale vulnerabilità, qualora sfruttata, consentirebbe ad un utente malevolo di scrivere file arbitrari sul filesystem, con possibilità di escalation fino a Remote Code Execution in scenari specifici.

CVE-2025-12970

Vulnerabilità di tipo “Stack Buffer Overflow”, con score CVSS 3.x pari a 8.8, che riguarda la funzione extract_name() nel plugin in_docker di Fluent Bit. Questa funzione copia il nome del container in un buffer di dimensione fissa senza validarne la lunghezza, consentendo attacchi di tipo Stack Buffer Overflow. Tale vulnerabilità, qualora sfruttata, consentirebbe ad un utente malevolo di eseguire codice arbitrario da remoto e/o di provocare il crash del processo Fluent Bit.

CVE-2025-12978

Vulnerabilità di tipo “Improper Input Validation”, con score CVSS 3.x pari a 5.4, che riguarda i plugin in_http, in_splunk e in_elasticsearch . Il problema risiede nella logica di validazione dei valori di tag_key , che non verifica correttamente la lunghezza della chiave, consentendo che un prefisso venga trattato come match completo. Un utente malevolo remoto con accesso autenticato agli endpoint di input può sfruttare questo comportamento per manipolare i tag e reindirizzare i record verso destinazioni non previste. Ciò compromette l’autenticità dei log acquisiti e può consentire l’iniezione di dati falsi, flooding di alert e manipolazione del routing.

CVE-2025-12977

Vulnerabilità di tipo “Improper Input Validation”, con score CVSS 3.x pari a 9.1, che riguarda i plugin in_http , in_splunk e in_elasticsearch . La vulnerabilità è dovuta alle modalità di gestione dei valori di tag_key che non vengono filtrati correttamente, permettendo l’inserimento di caratteri speciali (es. newline, ../) che influenzano routing e derivazione di file. Tale vulnerabilità, qualora sfruttata, consentirebbe ad un utente malevolo di effettuare path traversal, iniettare record falsi e corrompere il routing dei log.

CVE-2025-12969

Vulnerabilità di tipo “Authentication Bypass”, con score CVSS 3.x pari a 6.5, che riguarda il plugin in_forward . In alcune configurazioni, il meccanismo security.users non viene applicato correttamente, consentendo l’invio di dati non autenticati. Tale vulnerabilità, qualora sfruttata, consentirebbe ad un utente malevolo di aggirare i meccanismi di autenticazione e iniettare log falsi, saturare i sistemi di alert e manipolare il routing, compromettendo l’autenticità e l’integrità dei log acquisiti.

Prodotti e versioni affette

Fluent Bit

  • 4.1.x, versioni precedenti alla 4.1.1
  • tutte le versioni precedenti alla 4.0.12

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile.

Riferimenti

CVE

CVE-ID
CVE-2025-12969 CVE-2025-12970 CVE-2025-12972 CVE-2025-12977
CVE-2025-12978

Change log

Versione Note Data
1.0 Pubblicato il 26-11-2025 26/11/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

26 Novembre 2025, 10:54