Unknown · External Secrets Operator · CVE-2026-42876
**Nome do Software Vulnerável e Versões Afetadas**
External Secrets Operator versões anteriores a 2.4.1
**Descrição**
Um usuário com permissões para criar recursos ExternalSecret pode fazer com que o operador crie um Secret que o Kubernetes preenche automaticamente com um token de longa duração para uma conta de serviço especificada. Isso permite que o usuário personifique qualquer conta de serviço no namespace sem precisar de permissões diretas de criação em TokenRequest ou Secrets desse tipo.
**Recomendações**
Atualize para a versão 2.4.1.
Adicione lógica de controle de admissão para evitar o uso de Templates direcionados a Tipos indesejados.
Remova a geração de Token de Conta de Serviço via flags do kube-controller-manager.
Restrinja o RBAC do Usuário em clusters de produção e namespaces sensíveis.