Helm 爆出高危代码注入漏洞 CVE-2025-53547，恶意 Chart.yaml 可导致本地代码执行

Kubernetes 包管理器 Helm 爆出高危安全漏洞，攻击者可通过特制的 `Chart.yaml` 文件在本地执行任意代码。该漏洞被追踪为 CVE-2025-53547（GHSA-557j-xg8c-q2mm），由 Helm 项目贡献者发现，核心风险在于依赖更新流程。当用户处理包含恶意内容的 `Chart.yaml` 文件及其关联的 `Chart.lock` 文件时，攻击者可利用此漏洞在目标系统上实现代码注入与执行。

漏洞细节显示，攻击向量集中在 `Chart.yaml` 文件的特定字段。当 Helm 解析这些字段并处理依赖关系时，恶意构造的内容可能绕过安全限制，触发非预期的代码执行路径。此漏洞影响范围广泛，因为 Helm 是 Kubernetes 生态中部署和管理应用的核心工具，大量开发和生产环境依赖其进行软件包管理。

目前，Helm 项目已发布修复版本 v3.18.5。多个依赖管理工具（如 Dependabot）已开始推送更新 PR，将 Helm 从存在漏洞的 v3.17.3 版本升级至安全版本。对于使用 Helm 的团队而言，这是一次强制性安全更新。未能及时升级的集群面临被入侵的风险，攻击者可能通过上传恶意 Chart 包来渗透构建系统或持续集成/持续部署（CI/CD）管道，进而危害整个 Kubernetes 环境。