Adam Korczynski

**Name of the Vulnerable Software and Affected Versions** Apache Avro Java SDK versions up to and including 1.11.2 Confluence Data Center versions from 7.17.0 to 8.7.1 Confluence Data Center versions from 8.7.0 to 8.7.1 Confluence Server versions from 7.17.0 to 8.5.4 LTS Bamboo Data Center and Server versions 9.2.1, 9.3.0, and 9.4.0 **Description** When deserializing untrusted or corrupted data, it is possible for a reader to consume memory beyond the allowed constraints and thus lead to out of memory on the system. This issue affects Java applications using Apache Avro Java SDK. An unauthenticated attacker can expose assets in the environment susceptible to exploitation, with no impact to confidentiality, no impact to integrity, high impact to availability, and requires no user interaction. **Recommendations** For Apache Avro Java SDK versions up to and including 1.11.2, update to apache-avro version 1.11.3. For Confluence Data Center versions from 7.17.0 to 8.7.1, upgrade to the latest version, or to one of the specified supported fixed versions: 8.8.0, 8.7.2, 8.6.2, 8.5.4 LTS, 8.5.5 LTS, 8.5.6 LTS, 7.19.17 LTS, 7.19.18 LTS, 7.19.19 LTS. For Confluence Server versions from 7.17.0 to 8.5.4 LTS, upgrade to the latest 8.5.x LTS version, or to one of the specified supported fixed versions: 8.5.5 LTS, 8.5.6 LTS, 7.19.17 LTS, 7.19.18 LTS, 7.19.19 LTS. For Bamboo Data Center and Server versions 9.2.1, 9.3.0, and 9.4.0, upgrade to the latest version, or to one of the specified supported fixed versions: 9.2.8, 9.3.6, 9.4.2.

**Name of the Vulnerable Software and Affected Versions** notation versions prior to v1.0.0-rc.6 **Description** An attacker who has compromised a registry and added a high number of signatures to an artifact can cause denial of service of services on the machine, if a user runs `notation verify` command on the same machine. This issue can be exploited by making the registry serve an infinite number of signatures for the artifact. The `maxSignatureAttempts` in `notation verify` enables this endless data attack. **Recommendations** For notation versions prior to v1.0.0-rc.6, upgrade the notation packages to v1.0.0-rc.6 or above. As a temporary workaround, consider restricting container registries to a set of secure and trusted container registries until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** notation versions prior to v1.0.0-rc.6 **Description** An attacker who has compromised a registry can cause users to verify the wrong artifact. This issue allows an attacker to lead a user into verifying the wrong artifact if they control or compromise a registry. **Recommendations** For versions prior to v1.0.0-rc.6, upgrade the notation-go library to v1.0.0-rc.6 or above. As a temporary workaround for users unable to upgrade, restrict container registries to a set of secure and trusted container registries.

**Name of the Vulnerable Software and Affected Versions** notation-go versions prior to 1.0.0-rc.3 **Description** The issue causes excessive memory consumption when verifying signatures, leading to application crashes and impacting availability. Users can review their trust policy file for the identity string containing `=#` and ensure only trusted certificates are in their trust stores with `authenticity` validation set to `enforce`. **Recommendations** For versions prior to 1.0.0-rc.3, upgrade to version 1.0.0-rc.3 or above. As a temporary workaround, review your trust policy file and check if the identity string contains `=#`. Meanwhile, only put trusted certificates in your trust stores referenced by your trust policy files, and make sure the `authenticity` validation is set to `enforce`.

**Name of the Vulnerable Software and Affected Versions** containerd versions 1.6.17 and earlier, containerd versions 1.5.17 and earlier **Description** The issue is related to the import of OCI images in containerd, where there was no limit on the number of bytes read for certain files. A maliciously crafted image with a large file could cause a denial of service. **Recommendations** Update to containerd version 1.6.18 or later to resolve the issue. Update to containerd version 1.5.18 or later to resolve the issue. As a temporary workaround, ensure that only trusted images are used and that only trusted users have permissions to import images.

**Nome do software vulnerável e versões afetadas** golang.org/x/text/language (versões afetadas não especificadas) **Descrição** O problema está relacionado à função ParseAcceptLanguage, que pode ser explorada para causar uma negação de serviço através da criação de um cabeçalho Accept-Language específico. Esse cabeçalho pode fazer com que a função demore um tempo significativo para ser analisada, levando a uma negação de serviço. O problema se deve à complexidade de tempo quadrática do analisador de tags BCP 47, que está exposto a entradas de usuários não confiáveis. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para golang.org/x/text/language, considere limitar a complexidade total das tags passadas para ParseAcceptLanguage, restringindo o número de traços na string a 1000 como uma solução temporária até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Não há menção a nenhum software ou versão específica nas descrições fornecidas. **Descrição** Programas que compilam expressões regulares a partir de fontes não confiáveis podem estar vulneráveis a esgotamento de memória ou negação de serviço. A representação da expressão regular analisada é linear em relação ao tamanho da entrada, mas, em alguns casos, o fator constante pode chegar a 40.000, fazendo com que expressões regulares relativamente pequenas consumam quantidades muito maiores de memória. Após a correção, cada expressão regular analisada é limitada a um consumo de memória de 256 MB. Expressões regulares cuja representação usaria mais espaço do que isso são rejeitadas. O uso normal de expressões regulares não é afetado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Reader (versões afetadas não especificadas) **Descrição** O problema está relacionado ao fato de a função Reader.Read não definir um limite para o tamanho máximo dos cabeçalhos de arquivo. Um arquivo compactado criado de forma maliciosa poderia fazer com que a função Reader.Read alocasse quantidades ilimitadas de memória, causando potencialmente esgotamento de recursos ou falhas do sistema. Após a correção, a função Reader.Read limita o tamanho máximo dos blocos de cabeçalho a 1 MiB. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Argo CD de 0.4.0 a 2.2.10 Versões do Argo CD de 2.3.0 a 2.3.5 Versões do Argo CD de 2.4.0 a 2.4.4 **Descrição** O problema está relacionado a um bug de validação incorreta de certificados no Argo CD, o que poderia fazer com que ele confiasse em um provedor malicioso do OpenID Connect (OIDC). Esse bug afeta as conexões com provedores OIDC e pode ser explorado por um invasor para realizar ataques de spoofing. A vulnerabilidade está relacionada à omissão da verificação de certificados durante a comunicação com o provedor OIDC, o que expõe o Argo CD a vários riscos, como um ataque man-in-the-middle. **Recomendações** Para as versões 0.4.0 a 2.2.10 do Argo CD, atualize para a versão 2.2.11 ou posterior. Para as versões 2.3.0 a 2.3.5 do Argo CD, atualize para a versão 2.3.6 ou posterior. Para as versões 2.4.0 a 2.4.4 do Argo CD, atualize para a versão 2.4.5 ou posterior. Como solução alternativa temporária para usuários de um provedor OIDC externo, considere definir o campo `oidc.config.rootCA` no ConfigMap `argocd-cm` para forçar a validação do certificado quando o servidor de API processar fluxos de login.

**Nome do software vulnerável e versões afetadas** Versões 2.3.0 a 2.3.5 do Argo CD Versões 2.4.0 a 2.4.4 do Argo CD **Descrição** O problema é um bug de cross-site scripting (XSS) que poderia permitir que um invasor injetasse código JavaScript arbitrário na página “/auth/callback” no navegador da vítima. Essa vulnerabilidade afeta apenas instâncias do Argo CD com o single sign-on (SSO) habilitado. A exploração requer que o invasor tenha acesso à chave de criptografia do servidor API, um método para adicionar um cookie ao navegador da vítima e a capacidade de convencer a vítima a visitar um link malicioso “/auth/callback”. A vulnerabilidade é classificada como de gravidade baixa, pois o acesso à chave de criptografia do servidor API já concede um alto nível de acesso. **Recomendações** Para as versões 2.3.0 a 2.3.5 do Argo CD, atualize para a versão 2.3.6 para resolver o problema. Para as versões 2.4.0 a 2.4.4 do Argo CD, atualize para a versão 2.4.5 para resolver o problema. Como solução alternativa temporária, considere desativar o SSO até que um patch seja aplicado. Restrinja o acesso à página “/auth/callback” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do KubeEdge anteriores à 1.11.1 Versões do KubeEdge anteriores à 1.10.2 Versões do KubeEdge anteriores à 1.9.4 **Descrição** O KubeEdge é um sistema de código aberto para estender os recursos nativos de orquestração de aplicativos em contêineres para hosts na borda (Edge). Vários endpoints no Cloud AdmissionController, incluindo “/devicemodels”, “/rules”, “/ruleendpoints” e “/offlinemigration”, podem estar suscetíveis a um ataque DoS se uma solicitação HTTP contendo um corpo (Body) muito grande for enviada a ele. A consequência desse esgotamento é que o Cloud AdmissionController ficará em estado de negação de serviço. Apenas um usuário autenticado pode causar esse problema. **Recomendações** Atualize para a versão 1.11.1 ou posterior do KubeEdge para resolver o problema. Atualize para a versão 1.10.2 ou posterior do KubeEdge para resolver o problema. Atualize para a versão 1.9.4 ou posterior do KubeEdge para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos endpoints vulneráveis no Cloud AdmissionController até que um patch esteja disponível. Evite enviar solicitações HTTP com corpos muito grandes para o Cloud AdmissionController até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do KubeEdge anteriores à 1.11.1 Versões do KubeEdge anteriores à 1.10.2 Versões do KubeEdge anteriores à 1.9.4 **Descrição** O servidor Cloud Stream e o servidor Edge Stream leem a mensagem inteira na memória sem impor um limite ao tamanho dessa mensagem. Um invasor pode explorar essa vulnerabilidade enviando uma mensagem grande para esgotar a memória e causar uma negação de serviço. Nesse caso, o servidor Cloud Stream e o servidor Edge Stream estão sob ataque de negação de serviço. A consequência do esgotamento é que o CloudCore e o EdgeCore ficarão em estado de negação de serviço. Somente um usuário autenticado pode causar esse problema. Ele será afetado apenas quando os usuários habilitarem o módulo `cloudStream` no arquivo de configuração `cloudcore.yaml` e habilitarem o módulo `edgeStream` no arquivo de configuração `edgecore.yaml`. **Recomendações** Para versões anteriores à 1.11.1, atualize para a versão 1.11.1 ou posterior. Para versões anteriores à 1.10.2, atualize para a versão 1.10.2 ou posterior. Para versões anteriores à 1.9.4, atualize para a versão 1.9.4 ou posterior. Como solução alternativa temporária, desative o módulo `cloudStream` no arquivo de configuração `cloudcore.yaml` e desative o módulo `edgeStream` no arquivo de configuração `edgecore.yaml`; em seguida, reinicie os processos cloudcore e edgecore.

**Nome do software vulnerável e versões afetadas** Versões do KubeEdge anteriores à 1.11.1 Versões do KubeEdge anteriores à 1.10.2 Versões do KubeEdge anteriores à 1.9.4 **Descrição** O CloudCore Router no KubeEdge não impõe um limite ao tamanho das respostas às solicitações feitas pelo manipulador REST, permitindo que um invasor faça uma solicitação que retornará uma resposta HTTP com um corpo grande e causará uma negação de serviço. Isso pode ocorrer quando o módulo `router` está habilitado no arquivo de configuração `cloudcore.yaml`. Apenas um usuário autenticado da nuvem pode realizar um ataque. A consequência do esgotamento é que o CloudCore ficará em uma situação de negação de serviço. **Recomendações** Para versões anteriores à 1.11.1, atualize para a versão 1.11.1 ou posterior. Para versões anteriores à 1.10.2, atualize para a versão 1.10.2 ou posterior. Para versões anteriores à 1.9.4, atualize para a versão 1.9.4 ou posterior. Como solução temporária, desative o módulo `router` no arquivo de configuração `cloudcore.yaml`, definindo `enable` como `false`.

**Nome do software vulnerável e versões afetadas** Versões do KubeEdge anteriores à 1.11.1 Versões do KubeEdge anteriores à 1.10.2 Versões do KubeEdge anteriores à 1.9.4 **Descrição** O EdgeCore pode estar suscetível a um ataque DoS no CloudHub se um invasor enviar uma solicitação HTTP bem elaborada para “/edge.crt”. Se a solicitação tiver um corpo muito grande, ela pode travar o serviço HTTP por meio de um vetor de esgotamento de memória. O corpo da solicitação é lido na memória, e um corpo maior do que a memória disponível pode levar a um ataque bem-sucedido. Apenas usuários autorizados podem realizar esse ataque, pois a solicitação deve passar pela autorização. A consequência do esgotamento é que o CloudHub ficará em estado de negação de serviço. Esta falha afeta o KubeEdge apenas quando o módulo CloudHub está habilitado no arquivo `cloudcore.yaml`. **Recomendações** Para versões anteriores à 1.11.1, atualize para a versão 1.11.1 ou posterior. Para versões anteriores à 1.10.2, atualize para a versão 1.10.2 ou posterior. Para versões anteriores à 1.9.4, atualize para a versão 1.9.4 ou posterior. Como solução alternativa temporária, desative a opção CloudHub no arquivo de configuração `cloudcore.yaml`.

**Nome do software vulnerável e versões afetadas** Versões do KubeEdge anteriores à 1.11.1 Versões do KubeEdge anteriores à 1.10.2 Versões do KubeEdge anteriores à 1.9.4 **Descrição** O servidor ServiceBus no lado do edge pode estar suscetível a um ataque DoS se receber uma solicitação HTTP contendo um corpo (Body) muito grande. É possível que o nó fique sem memória, causando uma negação de serviço para outros serviços no nó, como outros contêineres. Essa vulnerabilidade pode ser explorada por aplicativos maliciosos que tenham permissão para enviar solicitações HTTP para o localhost, mas somente quando o módulo `ServiceBus` estiver habilitado no arquivo de configuração `edgecore.yaml`. **Recomendações** Para versões anteriores à 1.11.1, atualize para a versão 1.11.1 ou posterior. Para versões anteriores à 1.10.2, atualize para a versão 1.10.2 ou posterior. Para versões anteriores à 1.9.4, atualize para a versão 1.9.4 ou posterior. Como solução alternativa temporária, desative o módulo `ServiceBus` no arquivo de configuração `edgecore.yaml`.

**Nome do software vulnerável e versões afetadas** Versões do KubeEdge anteriores à 1.11.1 Versões do KubeEdge anteriores à 1.10.2 Versões do KubeEdge anteriores à 1.9.4 **Descrição** Uma resposta de grande porte recebida pelo viaduct WSClient pode causar uma negação de serviço (DoS) devido ao esgotamento da memória. Todo o corpo da resposta é lido na memória, o que poderia permitir que um invasor enviasse uma solicitação que retornasse uma resposta com um corpo grande. A consequência do esgotamento é que o processo que invoca um WSClient ficará em uma situação de negação de serviço. Este problema afeta usuários autenticados no lado do edge e que se conectam ao `cloudhub` a partir do lado do edge por meio do protocolo WebSocket. **Recomendações** Para versões anteriores à 1.11.1, atualize para a versão 1.11.1 ou posterior. Para versões anteriores à 1.10.2, atualize para a versão 1.10.2 ou posterior. Para versões anteriores à 1.9.4, atualize para a versão 1.9.4 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao `cloudhub` por meio do protocolo WebSocket para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do KubeEdge anteriores à 1.11.0 Versões do KubeEdge anteriores à 1.10.1 Versões do KubeEdge anteriores à 1.9.3 **Descrição** Uma mensagem maliciosa pode causar a falha do CloudCore ao provocar uma desreferência de ponteiro nulo no servidor UDS. O ataque é limitado à rede do host local e requer que o invasor seja um usuário autenticado na nuvem. Este problema afeta apenas usuários que ativaram a opção unixsocket no arquivo de configuração cloudcore.yaml. **Recomendações** Para versões anteriores à 1.11.0, atualize para a versão 1.11.0 para resolver o problema. Para versões anteriores à 1.10.1, atualize para a versão 1.10.1 para resolver o problema. Para versões anteriores à 1.9.3, atualize para a versão 1.9.3 para resolver o problema. Como solução alternativa temporária, considere desativar a opção unixsocket do CloudHub no arquivo de configuração cloudcore.yaml.

**Nome do software vulnerável e versões afetadas** Versões do KubeEdge anteriores à 1.11.0 Versões do KubeEdge anteriores à 1.10.1 Versões do KubeEdge anteriores à 1.9.3 **Descrição** Uma resposta de mensagem maliciosa do KubeEdge pode travar o servidor controlador do CSI Driver ao acionar um panic de desreferência de ponteiro nulo, resultando em uma negação de serviço. Este problema afeta o KubeEdge, que estende a orquestração de aplicativos em contêineres nativos e o gerenciamento de dispositivos para hosts na borda (Edge). Um invasor precisaria ser um usuário autenticado na nuvem e iniciar o `csidriver` para potencialmente explorar esta vulnerabilidade. **Recomendações** Para versões anteriores à 1.11.0, atualize para a versão 1.11.0 para resolver o problema. Para versões anteriores à 1.10.1, atualize para a versão 1.10.1 para resolver o problema. Para versões anteriores à 1.9.3, atualize para a versão 1.9.3 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao servidor controlador do CSI Driver até que um patch seja aplicado. No momento, não há outras soluções alternativas disponíveis.

**Nome do software vulnerável e versões afetadas** Versões do Argo CD de 1.3.0 a 2.4.0 Versões do Argo CD de 2.1.0 a 2.1.15 Versões do Argo CD de 2.2.0 a 2.2.9 Versões do Argo CD de 2.3.0 a 2.3.4 **Descrição** O problema está relacionado a um bug de link simbólico no Argo CD, permitindo que um usuário mal-intencionado com acesso de gravação ao repositório vaze arquivos YAML confidenciais do servidor de repositórios do Argo CD. Um usuário mal-intencionado do Argo CD com acesso de gravação a um repositório que seja (ou possa ser) usado em um aplicativo do tipo Helm pode criar um link simbólico que aponte para um arquivo fora dos limites. Se o arquivo de destino for um arquivo YAML válido, o invasor poderá ler o conteúdo desse arquivo. Os arquivos confidenciais que podem vazar incluem arquivos de manifesto de repositórios de código-fonte de outras aplicações (arquivos potencialmente descriptografados, se você estiver usando um plugin de descriptografia) ou quaisquer segredos no formato YAML que tenham sido montados como arquivos no servidor de repositório. **Recomendações** Para as versões 1.3.0 a 2.1.15, atualize para a versão 2.1.16 ou posterior. Para as versões 2.2.0 a 2.2.9, atualize para a versão 2.2.10 ou posterior. Para as versões 2.3.0 a 2.3.4, atualize para a versão 2.3.5 ou posterior. Para as versões 2.4.0 e anteriores, atualize para a versão 2.4.1 ou posterior. Como solução alternativa temporária, considere desativar a ferramenta de gerenciamento de configuração Helm se estiver usando uma versão >=v2.3.0 e não tiver nenhum aplicativo do tipo Helm. Evite montar segredos no formato YAML como arquivos no servidor de repositório. Limite quem tem acesso de envio aos repositórios de manifestos. Limite quem é

**Nome do software vulnerável e versões afetadas** Versões do Argo CD de 1.0.0 a 2.4.0 Versões do Argo CD de 2.1.0 a 2.1.15 Versões do Argo CD de 2.2.0 a 2.2.9 Versões do Argo CD de 2.3.0 a 2.3.4 **Descrição** O Argo CD é uma ferramenta declarativa de entrega contínua GitOps para o Kubernetes. O problema está relacionado a um bug de cross-site scripting (XSS), permitindo que um usuário mal-intencionado insira um link `javascript:` na interface do usuário. Quando clicado por um usuário vítima, o script será executado com as permissões da vítima, incluindo permissões de administrador. Isso poderia permitir a criação, modificação e exclusão de recursos do Kubernetes. **Recomendações** Para versões anteriores à 2.1.16, atualize para a versão 2.1.16 ou posterior. Para versões anteriores à 2.2.10, atualize para a versão 2.2.10 ou posterior. Para versões anteriores à 2.3.5, atualize para a versão 2.3.5 ou posterior. Para versões anteriores à 2.4.1, atualize para a versão 2.4.1 ou posterior. Como solução alternativa temporária, considere evitar clicar em links externos apresentados na interface do usuário e limitar cuidadosamente quem tem permissões para editar manifestos de recursos.