Houqiyua

**Nome do software vulnerável e versões afetadas** kuma versão 2.7.0 **Descrição** A vulnerabilidade permite que invasores acessem dados confidenciais e elevem privilégios ao obter o token da conta de serviço devido a permissões inseguras. **Recomendações** Para a versão 2.7.0 do kuma, atualize para uma versão que corrija a vulnerabilidade de permissões inseguras, a fim de impedir que invasores acessem dados confidenciais e elevem privilégios.

**Nome do software vulnerável e versões afetadas** meshery versão 0.7.51 **Descrição** A vulnerabilidade permite que invasores acessem dados confidenciais e aumentem seus privilégios ao obter o token da conta de serviço devido a permissões inseguras. **Recomendações** Para a versão 0.7.51 do meshery, atualize para uma versão que corrija o problema de permissões inseguras, a fim de impedir que invasores acessem dados confidenciais e aumentem seus privilégios.

**Nome do software vulnerável e versões afetadas** fabedge versão 0.8.1 **Descrição** O problema diz respeito a permissões inseguras no fabedge, permitindo que invasores acessem dados confidenciais e aumentem seus privilégios ao obter o token da conta de serviço. **Recomendações** Para a versão 0.8.1 do fabedge, atualize para uma versão que corrija o problema de permissões inseguras, a fim de impedir que invasores acessem dados confidenciais e aumentem seus privilégios.

**Nome do software vulnerável e versões afetadas** cert-manager versão 1.14.4 **Descrição** O problema está relacionado a permissões inseguras, permitindo que invasores acessem dados confidenciais e elevem privilégios ao obter o token da conta de serviço. **Recomendações** Para a versão 1.14.4 do cert-manager, atualize para uma versão que corrija o problema de permissões inseguras, a fim de impedir que invasores acessem dados confidenciais e elevem privilégios.

**Nome do software vulnerável e versões afetadas** chaos-mesh versão 2.6.3 **Descrição** A vulnerabilidade permite que invasores acessem dados confidenciais e aumentem seus privilégios ao obter o token da conta de serviço devido a permissões inseguras. **Recomendações** Para a versão 2.6.3 do chaos-mesh, atualize para uma versão que corrija o problema de permissões inseguras, a fim de impedir que invasores acessem dados confidenciais e aumentem seus privilégios.

**Nome do software vulnerável e versões afetadas** contour versão 1.28.3 **Descrição** A vulnerabilidade permite que invasores acessem dados confidenciais e aumentem seus privilégios ao obter o token da conta de serviço devido a permissões inseguras. **Recomendações** Para a versão 1.28.3 do contour, atualize as permissões para proteger o token da conta de serviço e impedir o acesso não autorizado.

**Nome do software vulnerável e versões afetadas** external-secrets versão 0.9.16 **Descrição** A vulnerabilidade permite que invasores acessem dados confidenciais e aumentem seus privilégios ao obter o token da conta de serviço devido a permissões inseguras. **Recomendações** Para a versão 0.9.16 do external-secrets, atualize para uma versão que corrija o problema de permissões inseguras, a fim de impedir que invasores acessem dados confidenciais e aumentem seus privilégios.

**Nome do software vulnerável e versões afetadas** logging-operator versão 4.6.0 **Descrição** A vulnerabilidade permite que invasores acessem dados confidenciais e elevem privilégios ao obter o token da conta de serviço devido a permissões inseguras. **Recomendações** Para o logging-operator versão 4.6.0, considere restringir o acesso ao token da conta de serviço como uma solução temporária até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** volcano versão 1.8.2 **Descrição** O problema está relacionado a permissões inseguras, permitindo que invasores acessem dados confidenciais e aumentem seus privilégios ao obter o token da conta de serviço. Isso pode ser feito por meio do endpoint `volcano.sh/volcano`. **Recomendações** Para a versão 1.8.2, considere restringir o acesso ao endpoint `volcano.sh/volcano` para minimizar o risco de exploração. Além disso, revise e ajuste as permissões para impedir o acesso não autorizado a dados confidenciais e a escalada de privilégios.

**Nome do software vulnerável e versões afetadas** hwameistor versão 0.14.3 **Descrição** A vulnerabilidade permite que invasores acessem dados confidenciais e aumentem seus privilégios ao obter o token da conta de serviço devido a permissões inseguras. **Recomendações** Para a versão 0.14.3 do hwameistor, atualize para uma versão mais recente que corrija o problema de permissões inseguras, a fim de impedir que invasores acessem dados confidenciais e aumentem seus privilégios.

**Nome do software vulnerável e versões afetadas** kruise versão 1.6.2 **Descrição** O problema está relacionado a permissões inseguras, permitindo que invasores acessem dados confidenciais e escalem privilégios ao obter o token da conta de serviço. **Recomendações** Para a versão 1.6.2 do kruise, atualize as permissões para restringir o acesso a dados confidenciais e impedir a escalada de privilégios. Considere restringir temporariamente o acesso ao token da conta de serviço até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** piraeus-operator versões 2.5.0 e anteriores **Descrição** A vulnerabilidade permite que um invasor se faça passar pela conta de serviço vinculada a um ClusterRole no piraeus-operator, à qual foi concedida a permissão para listar segredos. Essa permissão permite que o invasor liste informações confidenciais em todo o cluster, representando um alto risco. **Recomendações** Para as versões 2.5.0 e anteriores do piraeus-operator, considere restringir os privilégios do ClusterRole para impedir que um invasor liste segredos. Como solução temporária, considere desativar a permissão de listar segredos para o ClusterRole até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** kubevirt versões 1.2.0 e anteriores **Descrição** A vulnerabilidade permite que um invasor local execute código arbitrário por meio de um comando malicioso para obter o componente token. Isso pode ser feito enviando um comando malicioso para o endpoint da API `/kubevirt.io/kubevirt`. O invasor pode explorar essa vulnerabilidade para obter acesso não autorizado e executar código arbitrário. **Recomendações** Para as versões 1.2.0 e anteriores, considere desativar o componente `kubevirt` até que uma correção esteja disponível. Restrinja o acesso ao endpoint da API `/kubevirt.io/kubevirt` para minimizar o risco de exploração. Evite usar comandos criados para obter o componente token até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** karmada versões 1.9.0 e anteriores **Descrição** A vulnerabilidade permite que um invasor local execute código arbitrário por meio de um comando malicioso para obter o componente `token`. Isso está relacionado ao tratamento de tokens e pode ser explorado para a escalada de privilégios local. **Recomendações** Para as versões 1.9.0 e anteriores, atualize para a versão mais recente para resolver o problema. Como solução temporária, considere limitar as permissões e investigar o tratamento de tokens para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Carina versões 0.13.0 e anteriores **Descrição** Um risco de autorização RBAC permite que invasores locais executem código arbitrário por meio de comandos maliciosos para obter os segredos de todo o cluster e, posteriormente, assumir o controle do cluster. **Recomendações** Para as versões 0.13.0 e anteriores do Carina, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** spidernet-io spiderpool versões 0.9.3 e anteriores **Descrição** Uma falha no spidernet-io spiderpool permite que um invasor local execute código arbitrário por meio de um comando malicioso para obter o componente `token`. **Recomendações** Para as versões 0.9.3 e anteriores do spidernet-io spiderpool, considere restringir o acesso ao componente token até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.