Ratify · Ratify · CVE-2025-27403
Nome do Software Vulnerável e Versões Afetadas:
Versões do Ratify anteriores a 1.2.3
Versões do Ratify anteriores a 1.3.2
Descrição:
O problema diz respeito a um mecanismo de verificação que possibilita a verificação de metadados de segurança de artefatos. Em um ambiente Kubernetes, o mecanismo pode ser configurado para autenticar em um Registro de Contêineres do Azure (ACR) privado usando provedores de autenticação de Identidade de Carga de Trabalho do Azure e Identidade Gerenciada do Azure. Esses provedores tentam trocar um token do Entra ID (EID) por um token de atualização do ACR. No entanto, eles não verificavam se o registro de destino é um ACR, o que poderia levar à apresentação do token do EID a um registro não-ACR durante a troca de token. Isso poderia potencialmente permitir que tokens do EID com acesso ao ACR fossem extraídos e abusados caso uma carga de trabalho do usuário contenha uma referência de imagem para um registro malicioso.
Recomendações:
Para versões anteriores a 1.2.3, atualize para a versão 1.2.3 ou posterior para adicionar nova validação antes da troca de token do EID.
Para versões anteriores a 1.3.2, atualize para a versão 1.3.2 ou posterior para adicionar nova validação antes da troca de token do EID.
Como solução temporária, considere restringir o acesso aos provedores de autenticação do Azure até que o problema seja resolvido.
Evite usar referências de imagem para registros maliciosos para minimizar o risco de exploração.