Qiqi Xu

**Nome do software vulnerável e versões afetadas** Kubernetes (versões afetadas não especificadas) **Descrição** Foi descoberta uma falha de segurança no Kubernetes em que agentes que controlam as respostas das solicitações `MutatingWebhookConfiguration` ou `ValidatingWebhookConfiguration` conseguem redirecionar solicitações do `kube-apiserver` para redes privadas do apiserver. Se esse usuário puder visualizar os logs do `kube-apiserver` quando o nível de log estiver definido como 10, ele poderá ver as respostas redirecionadas e os cabeçalhos nos logs. A vulnerabilidade está relacionada a erros no processamento de hiperlinks, o que pode permitir que um invasor remoto acesse dados confidenciais. Além disso, o `kube-apiserver`, o `scheduler`, o `controller-manager` e o `kubelet` têm a criação de perfis habilitada por padrão, e o acesso a essas informações pode ser obtido acessando o endpoint `/debug/pprof/profile`, embora sejam necessários direitos RBAC para o `kube-apiserver`, o `kube-controller-manager` e o `kube-scheduler`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.