Casey Davenport

**Nome do Software Vulnerável e Versões Afetadas** Calico (versões afetadas não especificadas) **Descrição** O contêiner de inicialização `install-cni` registra a configuração CNI renderizada na saída padrão. Em implantações Canal ou Flannel-Calico onde o modelo de configuração usa o marcador ` SERVICEACCOUNT TOKEN `, o instalador substitui o token de portador do ServiceAccount do Kubernetes ativo antes do registro. Isso expõe o token a qualquer usuário autenticado com permissões de `pods/log` no namespace que contém o `calico-node`. O token exposto possui privilégios de patch em `pods/status`, o que pode ser usado para realizar ataques baseados em anotações contra cargas de trabalho do cluster. O caminho de autenticação padrão baseado em kubeconfig não é afetado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Calico (versões afetadas não especificadas) **Descrição** Quando configurado com o plugin Azure IPAM, o binário Calico CNI modifica a configuração CNI recebida para incluir informações de sub-rede antes de delegá-la ao plugin IPAM. O auxiliar Azure IPAM então registra todo o mapa de configuração descompactado (`stdinData`) no nível INFO em `/var/log/calico/cni/cni.log` a cada invocação CNI ADD e DEL — ocorrendo sempre que um pod é agendado ou encerrado no nó. Quando o cluster é implantado usando autenticação do Kubernetes baseada em token, essa entrada de log contém o token de ServiceAccount, a chave do cliente e a autoridade de certificação em texto simples. Qualquer principal com acesso de leitura ao arquivo de log no nó pode extrair essas credenciais, que concedem privilégios de administrador de rede do Calico em todo o cluster. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.