Mattmoor

**Nome do software vulnerável e versões afetadas** Go SDK para CloudEvents, versões anteriores à 2.15.2 **Descrição** O problema está relacionado à função `cloudevents.WithRoundTripper` no Go SDK para CloudEvents, que faz com que o SDK vaze credenciais para endpoints arbitrários quando usado com um `http.RoundTripper` autenticado. Isso ocorre porque o `http.DefaultClient` é modificado com o transporte autenticado, resultando no envio de tokens de autorização para qualquer endpoint com o qual ele se comunique. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. **Recomendações** Para versões anteriores à 2.15.2, atualize para a versão 2.15.2 para corrigir o problema. Como solução alternativa temporária, considere evitar o uso de `cloudevents.WithRoundTripper` com um `http.RoundTripper` autenticado até que a atualização seja aplicada. Restrinja o acesso ao `http.DefaultClient` para minimizar o risco de exploração. Evite usar o campo `Transport` no `http.DefaultClient` até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do cosign anteriores à 1.10.1 **Descrição** O problema diz respeito a um utilitário de assinatura e verificação de contêineres. Nas versões afetadas, o comando `cosign verify-attestation`, quando usado com o sinalizador `--type`, pode reportar um falso positivo na verificação quando há pelo menos um atestado com uma assinatura válida e não há atestados do tipo que está sendo verificado. Isso pode ocorrer com a assinatura de par de chaves padrão e com a assinatura “sem chave” usando o Fulcio. O problema pode ser reproduzido com uma imagem específica que possua um atestado `vuln`, mas não um atestado `spdx`, fazendo com que o comando `cosign verify-attestation --type=spdx` seja executado com sucesso de forma incorreta. **Recomendações** Para versões anteriores à 1.10.1, atualize para a versão 1.10.1 ou superior do cosign para resolver o problema. Como solução alternativa temporária, considere evitar o uso de `cosign verify-attestation` com o sinalizador `--type` até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do PolicyController anteriores à 0.2.1 **Descrição** O problema ocorre quando há pelo menos um atestado com uma assinatura válida e nenhum atestado do tipo que está sendo verificado, com `--type` definido por padrão como “custom”. Isso resulta em um falso positivo, levando à admissão de um atestado quando ele não deveria ser admitido. Uma imagem de exemplo para testar isso é `ghcr.io/distroless/static@sha256:dd7614b5a12bc4d617b223c588b4e0c833402b8f4991fb5702ea83afad1986e2`. **Recomendações** Para resolver este problema, os usuários devem atualizar para a versão 0.2.1 ou superior. Não há soluções alternativas para usuários que não possam atualizar.