Flavio

**Nome do Software Vulnerável e Versões Afetadas** Versões do kubewarden-controller anteriores à 1.21.0 **Descrição** O problema diz respeito à validação de recursos com escopo de namespace pelas políticas AdmissionPolicy e AdmissionPolicyGroup no kubewarden-controller. Um atacante pode explorar isso para impedir a criação e atualização de objetos PolicyReport, que contêm listas de objetos em não conformidade encontrados dentro de um namespace, ocultando assim recursos em não conformidade. Além disso, um AdmissionPolicy mutante pode alterar o conteúdo dos recursos PolicyReport. As regras de validação foram reforçadas a partir da versão 1.21.0 para impedir a validação de tipos sensíveis de recursos com escopo de namespace. **Recomendações** Para versões anteriores à 1.21.0, aplique a política Kubewarden fornecida para impedir a criação de recursos AdmissionPolicy e AdmissionPolicyGroup que interajam com recursos PolicyReport. A política, nomeada "deny-interaction-with-policyreport", restringe o uso de curingas ao definir regras de apiGroups e resources para objetos AdmissionPolicy e AdmissionPolicyGroup, e impede que essas políticas tenham como alvo recursos PolicyReport. Para versões anteriores à 1.21.0, considere atualizar para a versão 1.21.0 ou posterior, onde as regras de validação aplicadas a AdmissionPolicy e AdmissionPolicyGroup foram reforçadas para impedir que validem tipos sensíveis de recursos com escopo de namespace. Como solução temporária, considere restringir o acesso aos recursos `PolicyReport` para minimizar o risco de exploração. Evite usar os recursos `admissionpolicies` e `admissionpolicygroups` nos endpoints da API afetados até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Versões do kubewarden-controller de 1.17.0 a 1.20.x **Descrição** O problema permite que um atacante obtenha informações sobre recursos que estão fora de seu alcance, aproveitando um acesso maior ao cluster concedido ao token do ServiceAccount usado para executar a política. O impacto deste problema depende dos privilégios concedidos ao ServiceAccount usado para executar o Policy Server e pressupõe que os usuários estejam utilizando as melhores práticas recomendadas de manter o ServiceAccount do Policy Server com privilégio mínimo. Por padrão, o chart do Helm do Kubewarden concede acesso apenas aos seguintes recursos: Namespace, Pod, Deployment e Ingress. As políticas do Kubewarden podem ser autorizadas a consultar a API do Kubernetes no momento da avaliação, e esses tipos de políticas são chamados de "cientes de contexto". Políticas cientes de contexto podem realizar operações de listagem e obtenção em um cluster Kubernetes usando o `ServiceAccount` da instância do Policy Server que hospeda a política. **Recomendações** Para as versões de 1.17.0 a 1.20.x, atualize para a versão 1.21.0 ou posterior para resolver o problema. Como solução temporária para versões anteriores à 1.21.0, considere aplicar uma política do Kubewarden para prevenir a criação de recursos AdmissionPolicyGroup que tenham acesso a recursos do Kubernetes, como a política fornecida na descrição do OSV. Restrinja o acesso ao recurso `AdmissionPolicyGroup` para minimizar o risco de exploração. Evite usar políticas cientes de contexto até que o problema seja resolvido.