Mattfarina

**Nome do software vulnerável e versões afetadas** Versões do Helm anteriores à 3.6.1 **Descrição** Existe uma vulnerabilidade no Helm em que as credenciais `username` e `password` associadas a um repositório Helm poderiam ser repassadas para outro domínio referenciado por esse repositório Helm. Esse problema ocorre quando o arquivo `index.yaml` de um repositório Helm está hospedado em um domínio e faz referência a um arquivo de chart em um domínio diferente. Nesses casos, o Helm fornecerá as credenciais do domínio do `index.yaml` ao buscar esses arquivos. O problema foi resolvido na versão 3.6.1. Está disponível uma solução alternativa para verificar se há credenciais repassadas indevidamente, auditando o repositório Helm e procurando por outro domínio na lista `urls` das versões de gráficos no arquivo `index.yaml`. **Recomendações** Para versões anteriores à 3.6.1, atualize para a versão 3.6.1 para resolver o problema. Como solução alternativa temporária, considere auditar o repositório Helm para verificar se outro domínio está sendo usado e poderia ter recebido as credenciais. No arquivo `index.yaml` do repositório, procure outro domínio na lista `urls` das versões do gráfico. Se outro domínio for encontrado e essa versão do gráfico tiver sido baixada ou instalada, as credenciais teriam sido repassadas. Para passar o `username` e a `password` para outros domínios que o Helm possa encontrar ao recuperar um gráfico, pode-se usar o novo sinalizador `--pass-credentials`, que restaura o comportamento antigo para um único repositório como um comportamento opcional.