Antony Di

**Nome do Software Vulnerável e Versões Afetadas** Versões do Operator-SDK anteriores à 0.15.2 **Descrição** Versões iniciais do Operator-SDK incluíam um método inseguro para que contêineres do operator fossem executados em ambientes que utilizam um UID aleatório. Um script, `user setup`, modificava as permissões do arquivo `/etc/passwd` para 664 durante o build. Um invasor executando comandos dentro de um contêiner afetado, mesmo como um usuário não root, poderia aproveitar a associação ao grupo root para modificar o arquivo `/etc/passwd`. Isso poderia permitir a adição de um novo usuário com um UID arbitrário, potencialmente incluindo o UID 0, resultando em privilégios totais de root dentro do contêiner. **Recomendações** Atualize para a versão 0.15.2 ou posterior do Operator-SDK. Se estiver usando uma versão anterior, garanta que o script inseguro `user setup` não seja utilizado durante o build da imagem do contêiner.