一个被指定为 CVE-2025-49825 的严重漏洞，允许攻击者在 Teleport（一种广泛使用的安全访问平台）中远程绕过身份验证控制。

该漏洞影响多个版本的 Teleport 基础设施，促使各类部署环境必须立即进行安全更新。

Cloud 客户的控制平面版本已接收自动更新，而自行管理代理的组织必须立即采取行动，以防潜在的安全漏洞被利用。

严重的身份验证绕过漏洞

这一严重的安全漏洞，编号为 CVE-2025-49825，构成了对全球 Teleport 部署环境的重大威胁。

安全研究人员发现，该漏洞允许恶意行为者远程规避身份验证机制，可能获得对敏感基础设施和系统的未授权访问。

Teleport 已针对多个主要版本发布修复版本，包括 17.5.2、16.5.12、15.5.3、14.4.1、13.4.27 和 12.4.35。

对于 Teleport Cloud 客户，控制平面基础设施已自动接收安全更新。

使用 Managed Updates v2 的组织已于 2025 年 6 月 9 日的指定维护窗口期间，自动获得代理节点更新。

然而，未启用自动管理的环境需要立即手动干预，以实现对漏洞的全面修复。

代理更新

各组织必须优先更新其基础设施中运行的所有 Teleport 代理节点，以消除安全风险。

最有效的方法是全面接入 Managed Updates v2，它提供自动补丁管理能力。

系统管理员可使用专门针对不同版本范围的 tctl inventory 命令识别易受攻击的代理节点。

识别完成后，必须使用传统的软件包管理器（如 apt 或 yum）将代理节点升级到与集群版本匹配的最新修复版本。

成功升级后，管理员应执行以下命令，将所有代理节点注册为托管更新：

sudo teleport-update enable

该命令会将管理方式从传统软件包管理器切换为托管更新方式。

在应对漏洞的过程中，组织可能会遇到已被锁定的代理节点。为保护系统，易受攻击的代理节点会被自动锁定，需更新后才能移除锁定。

可使用以下命令暂时抑制漏洞横幅提示，以改善用户体验，抑制时间为 48 小时：

tctl alerts ack --ttl 48h

Kubernetes 环境需要特别注意，代理节点应使用 teleport-kube-agent 更新器，而非标准的 teleport-update 机制。该更新器可兼容 Managed Updates V1 和 V2 系统。

当 Kubernetes 代理通过 Teleport 的 ssh_service 提供 SSH 访问时，若未打补丁，仍然处于易受攻击状态，这凸显出在所有部署场景下立即更新的紧迫性。