Joelmccoy

**Nome do Software Vulnerável e Versões Afetadas** UDS Identity Config versões 0.11.0 a 0.26.0 **Descrição** Um erro de lógica existe no autenticador de cliente Keycloak `client-kubernetes-secret`. Este erro faz com que o `client secret` enviado seja sobrescrito pelo segredo do Kubernetes montado antes que a comparação ocorra. Um invasor que consiga acessar o endpoint de token do Keycloak e conheça um `client id` que utilize este autenticador pode se autenticar como esse cliente usando qualquer valor para o `client secret` para obter tokens OAuth2 com o escopo da conta de serviço do cliente. Caso o cliente `uds-operator` seja o alvo, o token obtido pode ser usado para registrar ou modificar outros clientes. **Recomendações** Atualizar para a versão 0.26.1.