Pjbgf

**Name of the Vulnerable Software and Affected Versions** Weave GitOps versions prior to v0.12.0 **Description** The communication between GitOps Run and the local S3 bucket is not encrypted, allowing privileged users or processes to tap the local traffic and gain information permitting access to the S3 bucket. This could result in changes to the bucket content, leading to modifications in the Kubernetes cluster's resources. There are no known workarounds for this issue. **Recommendations** For Weave GitOps versions prior to v0.12.0, upgrade to Weave GitOps version >= v0.12.0 released on 08/12/2022. As a temporary workaround, consider restricting access to the local S3 bucket to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Flux (versões afetadas não especificadas) **Descrição** O problema está relacionado ao tratamento inadequado de entradas fornecidas pelo usuário na CLI do Flux, o que resulta em um traversal de caminho que pode ser controlado pelo invasor. Isso permite que outras aplicações substituam as informações de implantação do Flux por conteúdo arbitrário, que é então implantado no cluster Kubernetes de destino. Usuários que compartilham o mesmo shell entre outras aplicações e os comandos da CLI do Flux podem ser afetados por este problema. Em alguns cenários, podem não ser apresentados erros, o que pode fazer com que os usuários finais não percebam que algo está errado. **Recomendações** Como solução alternativa temporária, considere executar a CLI do Flux em ambientes de shell efémeros e isolados para garantir que não existam valores persistentes de processos anteriores. A atualização para a versão mais recente da CLI continua sendo a estratégia de mitigação recomendada.

**Nome do software vulnerável e versões afetadas** Extensão GitOps Tools para VSCode (versões afetadas não especificadas) **Descrição** Um objeto Flux especialmente criado pode permitir a execução remota de código na máquina que executa a extensão, no contexto do usuário que está executando o VSCode. Os usuários que utilizam a extensão do VSCode para gerenciar clusters compartilhados com outros usuários são afetados por esta vulnerabilidade. **Recomendações** Atualize para a versão mais recente da Extensão GitOps Tools para VSCode.

**Nome do software vulnerável e versões afetadas** Extensão GitOps Tools para VSCode (versões afetadas não especificadas) **Descrição** A extensão GitOps Tools para VSCode é afetada por uma vulnerabilidade em que um kubeconfig especialmente criado pode levar à execução de código arbitrário em nome do usuário que está executando o VSCode. Essa vulnerabilidade é específica da extensão e não afeta o uso do kubeconfig com o kubectl. Usuários que dependem de kubeconfigs gerados ou alterados por outros processos ou usuários estão em risco. Usar apenas kubeconfigs confiáveis é uma medida de mitigação segura. **Recomendações** Atualize para a versão mais recente da extensão GitOps Tools para VSCode. Como solução alternativa temporária, considere usar apenas kubeconfigs confiáveis para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Flux2, versões 0.1.0 a 0.29.0 helm-controller, versões 0.1.0 a 0.19.0 kustomize-controller, versões 0.1.0 a 0.23.0 **Descrição** O problema diz respeito à injeção de código por meio de arquivos Kubeconfig maliciosos, o que pode levar à escalada de privilégios em implantações multilocatárias se a conta de serviço do controlador tiver permissões elevadas. Um usuário mal-intencionado com acesso de gravação a uma fonte Flux ou acesso direto ao cluster de destino poderia criar um Kubeconfig para executar código arbitrário dentro do contêiner do controlador. A vulnerabilidade requer permissões específicas, incluindo acesso direto ao cluster para criar ou modificar objetos Flux e segredos do Kubernetes, ou direitos de acesso para fazer alterações em uma fonte Flux configurada. **Recomendações** Para as versões 0.1.0 a 0.28.0 do Flux2, considere desativar a funcionalidade por meio de webhooks de admissão de validação, restringindo os usuários de definir o campo `spec.kubeConfig` nos objetos `Kustomization` e `HelmRelease` do Flux. Para as versões 0.1.0 a 0.18.0 do helm-controller, aplique perfis restritivos do AppArmor e do SELinux no pod do controlador para limitar quais binários podem ser executados. Para as versões 0.1.0 a 0.22.0 do kustomize-controller, aplique a mesma medida de mitigação usada para o helm-controller. Atualize para a versão 0.29.0 do Flux2, que inclui o helm-controller v0.19.0 e o kustomize-controller v0.23.0 corrigidos, para resolver o problema.