B0B0Haha

Incorrect Authorization vulnerability of `/v2` experimental interface in Apache DolphinScheduler. This issue affects Apache DolphinScheduler: before 3.4.2. Users are recommended to upgrade to version 3.4.2, which fixes the issue.

DataSource API Missing Authorization Check Leads to Arbitrary Data Source Metadata Disclosure in Apache DolphinScheduler. This issue affects Apache DolphinScheduler: before 3.4.2. Users are recommended to upgrade to version 3.4.2, which fixes the issue.

**Nome do Software Vulnerável e Versões Afetadas** Capsule versões anteriores a 0.13.0 **Descrição** O Capsule Controller é executado com privilégios de cluster-admin. Existe uma falha na função `HandleSection()` dentro do arquivo `internal/controllers/resources/processor.go`, onde a lógica de processamento de `RawItems` do `TenantResource` não valida adequadamente os escopos dos recursos. Embora o controlador tente definir um namespace usando `obj.SetNamespace()`, essa ação é ignorada pela API do Kubernetes para recursos de escopo de cluster. Consequentemente, usuários com privilégios de Tenant Owner podem aproveitar as permissões elevadas do controlador para criar recursos de escopo de cluster, como `ClusterRole` e `ValidatingWebhookConfiguration`, que não estão autorizados a criar diretamente. Isso pode levar à escalada de privilégios entre tenants, ataques em nível de cluster, roubo de dados sensíveis de todos os tenants via webhooks maliciosos ou negação de serviço em todo o cluster. **Recomendações** Atualize para a versão 0.13.0. Como medida paliativa temporária, restrinja as permissões da ServiceAccount do Capsule Controller para remover os privilégios de `cluster-admin`, caso não sejam estritamente necessários.

**Nome do Software Vulnerável e Versões Afetadas** Apache Camel K versões 2.0.0 a 2.8.0 Apache Camel K versões 2.9.0 a 2.9.1 Apache Camel K versão 2.10.0 **Descrição** Usuários autorizados em um namespace do Kubernetes podem criar um recurso de Build para controlar a geração de Pods em um namespace de sua escolha, incluindo o namespace do operador. Essa falha de cross-namespace permite que usuários sequestrem pods em namespaces seguros por meio de uma referência externamente controlada a um recurso em outra esfera e bypass de autorização via chave controlada pelo usuário. **Recomendações** Atualizar as versões 2.0.0 a 2.8.0 para 2.8.1. Atualizar as versões 2.9.0 a 2.9.1 para 2.9.2. Atualizar a versão 2.10.0 para 2.10.1.

**Nome do Software Vulnerável e Versões Afetadas** local-path-provisioner versões anteriores a 0.0.36 **Description** Um usuário malicioso com permissões para editar o ConfigMap `local-path-config` no namespace `local-path-storage` pode manipular o template `helperPod.yaml`. Este template é usado para criar HelperPods durante as operações de provisionamento e limpeza de PVC, mas não é suficientemente validado antes do uso. Um invasor pode injetar campos sensíveis de segurança, como `securityContext.privileged`, volumes `hostPath` e capacidades do Linux no template. Quando uma operação de PVC dispara a criação de um HelperPod, o provisionador utiliza o template controlado pelo invasor, resultando potencialmente em um pod privilegiado executando no nó de destino com o sistema de arquivos raiz do host montado. Isso permite que o invasor acesse arquivos confidenciais do host, leia tokens de ServiceAccount de outros pods no mesmo nó, acesse dados de volume de local-path de outros locatários ou modifique arquivos no nó host. **Recommendations** Atualize para a versão 0.0.36 ou posterior. Restrinja o acesso de escrita ao ConfigMap `local-path-config` no namespace `local-path-storage` apenas a administradores confiáveis. Marque o ConfigMap `local-path-config` como imutável. Habilite o Kubernetes Pod Security Admission para o namespace `local-path-storage`, aplicando a política `baseline` para evitar a criação de HelperPods privilegiados.

**Nome do Software Vulnerável e Versões Afetadas** DevSpace versões anteriores a 6.3.21 **Descrição** O WebSocket do servidor de interface do usuário aceita conexões de todas as origens por padrão, expondo vários endpoints. Um site malicioso visitado por um desenvolvedor usando um navegador pode estabelecer uma conexão WebSocket de origem cruzada para 'ws://127.0.0.1:8090'. Isso permite o acesso não autorizado aos seguintes endpoints: - '/api/logs' para transmitir logs de pods em tempo real - '/api/enter' para abrir um shell interativo dentro do pod em execução - '/api/command' para executar comandos de pipeline predefinidos **Recomendações** Atualize para a versão 6.3.21 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Contour versões 1.19.0 até 1.31.5 Contour versões 1.32.0 até 1.32.4 Contour versões 1.33.0 até 1.33.3 **Description** O recurso de Cookie Rewriting está suscetível à injeção de código Lua. Um invasor com permissões de RBAC para criar ou modificar recursos HTTPProxy pode fornecer valores maliciosos nas variáveis `spec.routes[].cookieRewritePolicies[].pathRewrite.value` ou `spec.routes[].services[].cookieRewritePolicies[].pathRewrite.value`, resultando na execução de código arbitrário no proxy Envoy. Isso ocorre porque valores controlados pelo usuário são interpolados no código-fonte Lua usando Go text/template sem a sanitização suficiente. Embora o código injetado seja executado apenas na própria rota do invasor, ele pode ser usado para ler credenciais de cliente xDS do Envoy no sistema de arquivos — expondo potencialmente certificados TLS e chaves privadas de outros locatários — ou causar a negação de serviço para outros locatários que compartilham a instância do Envoy. **Recommendations** Atualizar para a versão 1.31.6. Atualizar para a versão 1.32.5. Atualizar para a versão 1.33.4.

**Name of the Vulnerable Software and Affected Versions** KubePlus versão 4.14 **Description** O endpoint '/registercrd' no componente kubeconfiggenerator está suscetível a injeção de comando. O problema ocorre porque o componente utiliza a função `subprocess.Popen()` com o parâmetro `shell=True` para executar comandos de shell, concatenando diretamente o parâmetro `chartName` fornecido pelo usuário na string de comando sem a devida sanitização ou validação. Isso permite que um invasor execute comandos de shell arbitrários ao fornecer um valor malicioso para a variável `chartName`. **Recommendations** Como medida paliativa temporária, evite usar o parâmetro `chartName` no endpoint '/registercrd' até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** KubePlus version 4.1.4 **Description** KubePlus versions 4.1.4 contain a Server-Side Request Forgery (SSRF) issue within the mutating webhook and kubeconfiggenerator components when handling the `chartURL` field of ResourceComposition resources. The `chartURL` field is URL-encoded without proper validation of the target address. Specifically, when the kubeconfiggenerator component uses `wget` to download charts, the `chartURL` is directly incorporated into the command, enabling attackers to inject `wget`'s `--header` option and achieve arbitrary HTTP header injection. The API endpoint used for chart downloads is not specified. The vulnerable parameter is `chartURL`. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** SchemaHero version 0.23.0 **Description** A SQL Injection issue exists in SchemaHero version 0.23.0. The issue is located in the `columnAsInsert` function within the `plugins/postgres/lib/column.go` file, specifically through the `column` parameter. The vulnerability allows for potential manipulation of SQL queries through the `column` parameter. **Recommendations** Update to a newer version of SchemaHero that addresses this issue. As a temporary workaround, consider restricting access to the `columnAsInsert` function or carefully validating the `column` parameter before use.

**Name of the Vulnerable Software and Affected Versions** SchemaHero version 0.23.0 **Description** A SQL Injection issue exists in SchemaHero version 0.23.0. The issue is due to a flaw in the `mysqlColumnAsInsert` function within the `plugins/mysql/lib/column.go` file, specifically related to the `column` parameter. This allows for potential manipulation of SQL queries. The `column` parameter is vulnerable. **Recommendations** Update to a newer version that contains a fix for this vulnerability. As a temporary workaround, consider restricting access to the `mysqlColumnAsInsert` function until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Kube-router versions prior to 2.8.0 **Description** Kube-router's proxy module does not validate externalIPs or loadBalancer IPs before programming them into the node's network configuration. This impacts multi-tenant clusters where untrusted users have namespace-scoped permissions to create or modify Services. The `buildServicesInfo()` function copies IPs from `Service.spec.externalIPs` and `status.loadBalancer.ingress` without validating them against the `--service-external-ip-range` parameter. An attacker can bind arbitrary VIPs on all cluster nodes or cause denial of service to critical cluster services such as kube-dns. The `--service-external-ip-range` parameter is only used by the netpol module and is not checked by the proxy module. This allows attackers to potentially hijack traffic or disrupt DNS services. The vulnerability can be exploited by creating a Service with an externalIP matching the kube-dns ClusterIP, redirecting all DNS queries to attacker-controlled pods. The issue is not unique to kube-router, as the upstream Kubernetes project identified a similar issue as CVE-2020-8554. **Recommendations** Update to Kube-router version 2.8.0 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Nuclio anteriores à 1.15.20 **Descrição** O componente Shell Runtime do Nuclio contém um problema de injeção de comando. Quando uma função é invocada via HTTP, o runtime lê o cabeçalho `X-Nuclio-Arguments` e incorpora diretamente seu valor em comandos de shell sem validação ou sanitização. Isso permite que invasores com permissões de invocação de função injetem comandos maliciosos, potencialmente executando código arbitrário com privilégios de root em contêineres de função, roubando Tokens de ServiceAccount com permissões de nível cluster-admin e, finalmente, obtendo controle completo sobre o cluster Kubernetes. A vulnerabilidade decorre da falta de validação ao processar argumentos fornecidos pelo usuário na função `getCommandArguments` e da subsequente execução desses argumentos usando `sh -c`. Os invasores podem explorar isso criando payloads maliciosos no cabeçalho `X-Nuclio-Arguments`, aproveitando metacaracteres de shell como ponto e vírgula, pipes e crases para injetar comandos arbitrários. A vulnerabilidade afeta todas as versões que incluem o componente Shell Runtime. Uma exploração bem-sucedida pode levar ao comprometimento completo do cluster, incluindo violações de dados, ataques à cadeia de suprimentos e implantação de ransomware. **Recomendações** Desative o Shell Runtime definindo `enabled: false` na configuração da plataforma Nuclio. Restrinja as permissões de implantação de funções usando Controle de Acesso Baseado em Função (RBAC) para limitar quem pode implantar funções. Implemente validação rigorosa de entrada na função `getCommandArguments` para filtrar caracteres inseguros. Remova o uso da execução `sh -c` e utilize execução de comando parametrizada em vez disso. Limite as permissões da ServiceAccount usada pelos pods de função para reduzir o impacto potencial de uma exploração bem-sucedida.

**Name of the Vulnerable Software and Affected Versions** Kruise versions prior to 1.8.3 Kruise versions prior to 1.7.5 **Description** Kruise allows automated management of applications on Kubernetes. A flaw exists in the PodProbeMarker functionality where the webhook validation does not restrict the 'Host' field in custom probe configurations using TCPSocket or HTTPGet handlers. Because kruise-daemon runs with hostNetwork enabled, it executes probes from the node's network namespace. An attacker with permission to create PodProbeMarkers can specify arbitrary 'Host' values to trigger Server-Side Request Forgery (SSRF) from the node, perform port scanning, and receive response feedback through NodePodProbe status messages. The vulnerability allows access to node-local services, cloud metadata, and internal network resources. The `tcpSocket` probe remains vulnerable, while `httpGet` probes are rejected by the webhook in OpenKruise v1.8.0. The vulnerable component is the `PodProbeMarker` and the affected function is `newTCPSocketProber`. **Recommendations** Versions prior to 1.8.3: Update to version 1.8.3 or later. Versions prior to 1.7.5: Update to version 1.7.5 or later. Restrict PodProbeMarker creation permissions. Apply network policies limiting kruise-daemon egress traffic. Audit existing PodProbeMarker resources.

**Name of the Vulnerable Software and Affected Versions** Kargo versions 1.9.0 through 1.9.2 **Description** Kargo manages and automates the promotion of software artifacts. The authorization model includes a 'promote' verb intended to control access to promotion pipelines. While correctly enforced in the gRPC API, three endpoints in the REST API omit this check, relying solely on standard Kubernetes RBAC. This allows users with standard permissions, but without explicit 'promote' access, to bypass intended authorization boundaries. The affected **API Endpoints** are /v1beta1/projects/{project}/freight/{freight}/approve, /v1beta1/projects/{project}/stages/{stage}/promotions, and /v1beta1/projects/{project}/stages/{stage}/promotions/downstream. The issue stems from a missing authorization check for the 'promote' verb on these endpoints. **Recommendations** Upgrade to version 1.9.3 or later to resolve this issue.

**Name of the Vulnerable Software and Affected Versions** Kargo versions 1.7.0 through 1.7.7 Kargo version 1.8.11 Kargo version 1.9.3 **Description** Kargo manages and automates the promotion of software artifacts. The batch resource creation endpoints of both Kargo's legacy gRPC API and newer REST API accept multi-document YAML payloads. Specially crafted payloads can allow an attacker to inject arbitrary resources into the underlying namespace of an existing Project using the API server's own permissions when this behavior is not intended. This can be exploited to elevate permissions, potentially leading to remote code execution or secret exfiltration. Exfiltrated artifact repository credentials could be used for further attacks. In some Kubernetes cluster configurations, elevated permissions may enable remote code execution or secret exfiltration using `kubectl`. The **API Endpoints** affected are the batch resource creation endpoints of both the legacy gRPC API and the newer REST API. The issue stems from the logic within these endpoints when processing multi-document YAML payloads. An attacker can leverage this to inject resources into existing Projects. **Recommendations** Update to Kargo version 1.7.8 or later. Update to Kargo version 1.8.11. Update to Kargo version 1.9.3 or later.

**Name of the Vulnerable Software and Affected Versions** Yoke versions 0.19.0 and earlier **Description** Yoke's Air Traffic Controller (ATC) component contains a flaw that allows users with Custom Resource (CR) create/update permissions to execute arbitrary WASM code. This is achieved by injecting a malicious URL through the `overrides.yoke.cd/flight` annotation. The ATC controller downloads and executes the WASM module without validating the URL, potentially enabling attackers to create arbitrary Kubernetes resources or escalate privileges. The vulnerability resides in the handling of the `overrides.yoke.cd/flight` annotation, where the controller directly uses the user-provided URL without proper validation. The permission check only verifies `update` permission on `airways` resources, failing to prevent the execution of arbitrary WASM code. A Proof of Concept (PoC) demonstrates the creation of a malicious WASM module that creates a ConfigMap named `stolen-credentials` in the cluster, proving arbitrary code execution. The vulnerability is categorized as Remote Code Execution (RCE) / Code Injection. Attackers with CR create/update permissions and network access to host malicious WASM can exploit this issue. The impact includes potential compromise of confidentiality, integrity, and availability. **Recommendations** Versions prior to 0.19.0: Disable the annotation override feature by removing or disabling the `overrides.yoke.cd/flight` annotation processing in production environments. Versions prior to 0.19.0: Restrict the ATC controller's outbound network access to prevent downloading external WASM modules. Versions prior to 0.19.0: Limit CR create/update permissions to trusted users only. Versions prior to 0.19.0: Deploy a validating webhook to reject CRs with `overrides.yoke.cd/flight` annotations.

**Name of the Vulnerable Software and Affected Versions** Yoke versions 0.18.x and earlier **Description** The Air Traffic Controller (ATC) component of Yoke lacks proper authentication mechanisms for its webhook endpoints. This allows any pod within the cluster network to send AdmissionReview requests directly to the webhook, bypassing Kubernetes API Server authentication. Attackers can exploit this to trigger WASM module execution in the ATC controller context without authorization. The vulnerable endpoints include '/validations/{airway}', '/validations/resources', '/validations/flights.yoke.cd', '/validations/airways.yoke.cd', and '/crdconvert/{airway}'. The issue stems from the absence of TLS client certificate verification, request source validation, or any form of authentication middleware in the HTTP handler implementation. An attacker can send crafted AdmissionReview requests to these endpoints, potentially leading to unauthorized WASM execution and, combined with other issues, the creation of arbitrary Kubernetes resources. The impact includes potential confidentiality, integrity, and availability concerns. **Recommendations** Versions prior to 0.19.0: Deploy a NetworkPolicy to restrict access to the ATC service, allowing only kube-apiserver to connect. Versions prior to 0.19.0: Use a service mesh (Istio, Linkerd) to enforce mTLS between services. Versions prior to 0.19.0: Implement strict pod security policies to limit which pods can be created in the cluster.

**Name of the Vulnerable Software and Affected Versions** Devtron versions prior to 2.0.0 **Description** Devtron is a tool integration platform for Kubernetes. A flaw exists in the Attributes API interface that allows authenticated users to obtain the global API Token signing key by accessing the `/orchestrator/attributes?key=apiTokenSecret` endpoint. Obtaining this key enables attackers to forge JWT tokens for arbitrary user identities offline, potentially granting complete control over the Devtron platform and allowing lateral movement to the underlying Kubernetes cluster. The issue was addressed with commit d2b0d26. **Recommendations** Update to a version later than 2.0.0.

**Name of the Vulnerable Software and Affected Versions** Podman Desktop versions prior to 1.25.1 **Description** Podman Desktop is a graphical tool for developing on containers and Kubernetes. A critical authentication bypass allows any extension to circumvent permission checks and gain unauthorized access to all authentication sessions. The `isAccessAllowed()` function unconditionally returns `true`, enabling malicious extensions to impersonate any user, hijack authentication sessions, and access sensitive resources without authorization. **Recommendations** Update Podman Desktop to version 1.25.1 or later.