Budimanjojo

**Nome do Software Vulnerável e Versões Afetadas** Versões do External Secrets Operator de 0.20.2 até 1.2.0 **Descrição** O External Secrets Operator lê informações de um serviço de terceiros e injeta automaticamente os valores como Secrets do Kubernetes. A partir da versão 0.20.2 e antes da versão 1.2.0, a função de template `getSecretKey` poderia ser usada para buscar secrets entre namespaces com o roleBinding do controller external-secrets, contornando mecanismos de segurança. Esta função foi removida na versão 1.2.0. O problema permite acesso a secrets entre namespaces, potencialmente levando ao escalonamento de privilégios, exfiltração de dados ou comprometimento de contas de serviço e credenciais. A função `getSecretKey` aceita parâmetros como `a-secret-name`, `another-namespace` e `a-key` para especificar o secret a ser recuperado. **Recomendações** Atualize para a versão 1.2.0 ou posterior do External Secrets Operator. Como solução alternativa, use uma engine de políticas como Kubernetes, Kyverno, Kubewarden ou OPA para prevenir o uso de `getSecretKey` em qualquer recurso ExternalSecret.