Cclerget

**Nome do software vulnerável e versões afetadas** Versões do CRI-O Container Engine anteriores à versão corrigida **Descrição** Foi encontrada uma falha no CRI-O, na qual uma propriedade arbitrária do systemd pode ser injetada por meio de uma anotação de Pod. Qualquer usuário capaz de criar um Pod com uma anotação arbitrária pode realizar uma ação arbitrária no sistema host. Isso pode ser feito adicionando anotações como `org.systemd.property.SuccessAction` a um Pod, permitindo a execução de comandos arbitrários no sistema host. **Recomendações** Para versões do CRI-O Container Engine anteriores à versão corrigida, considere implementar um webhook de mutação externo para proibir anotações com o prefixo “org.systemd.property.” a fim de impedir a exploração. Infelizmente, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Apptainer versions 1.2.0-rc.2 through 1.2.0 **Description** Apptainer is an open source container platform. Version 1.2.0-rc.2 introduced an ineffective privilege drop when requesting container network setup, therefore subsequent functions are called with root privileges. The attack surface is rather limited for users, but an attacker could possibly craft a starter config to delete any directory on the host filesystems. **Recommendations** For Apptainer versions 1.2.0-rc.2, upgrade to Apptainer 1.2.1 to resolve the issue. There is no known workaround outside of upgrading to Apptainer 1.2.1.