Moolen

#19041de 53,624
14CVSS total
Vulnerabilidades · 2
Média
1
Alta
1
PT-2026-37287
5.3
2026-05-05
Unknown · External Secrets Operator · CVE-2026-42875
**Nome do Software Vulnerável e Versões Afetadas** External Secrets Operator versões anteriores a 2.4.0 **Descrição** Recursos Namespaced SecretStore que utilizam CAProvider com o tipo `ConfigMap` podiam resolver material de CA de um namespace diferente quando a variável `caProvider.namespace` estava configurada. Este comportamento ignorava o limite de namespace imposto para referências baseadas em SecretStore em provedores que dependem do resolvedor de CA de tempo de execução compartilhado. Embora os dados acessíveis sejam usados para validação de CA e não sejam expostos diretamente, isso resulta em uma violação de limite de confiança, onde um locatário pode fazer com que seu SecretStore consuma material de CA pertencente a outro namespace. Além disso, permite a divulgação de existência, possibilitando que um invasor infira se um ConfigMap ou chave de destino específico existe em outro namespace. **Recomendações** Atualizar para a versão 2.4.0.
PT-2025-41614
8.7
2025-10-10
Unknown · External Secrets Operator · CVE-2025-62159
**Nome do Software Vulnerável e Versões Afetadas** External Secrets Operator versões 0.10.1 a 0.19.2 **Descrição** O External Secrets Operator lê informações de um serviço de terceiros e injeta automaticamente os valores como Secrets do Kubernetes. Existe uma falha na implementação do provedor BeyondTrust na qual o provedor recuperava anteriormente Secrets do Kubernetes diretamente, sem validar o contexto do namespace ou o tipo de SecretStore. Isso permitiu acesso não autorizado a Secrets entre namespaces, potencialmente expondo credenciais sensíveis. O problema foi corrigido na versão 0.20.0 mediante o uso do utilitário `resolvers.SecretKeyRef`, que impõe a validação do namespace e restringe o acesso entre namespaces aos tipos `ClusterSecretStore`. **Recomendações** Atualize para a versão 0.20.0 ou posterior do External Secrets Operator. Como solução alternativa, utilize um motor de políticas como Kyverno ou OPA para impedir o uso do provedor BeyondTrust. Como solução alternativa, valide o `(Cluster)SecretStore` e garanta que o namespace só possa ser definido ao utilizar um `ClusterSecretStore`.