Roi Nisimi

**Nome do Software Vulnerável e Versões Afetadas** kro (Kube Resource Orchestrator) versões 0.1.0 até 0.2.1 **Descrição** A falha permite que usuários com permissão para criar ou modificar recursos ResourceGraphDefinition forneçam imagens de contêiner arbitrárias. Isso pode levar a um cenário de "confused deputy", onde os controladores do kro implantam e executam imagens controladas pelo atacante, resultando em execução remota de código sem autenticação nos nós do cluster. **Recomendações** Para as versões 0.1.0 até 0.2.1, atualize para a versão 0.2.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso para criar ou modificar recursos ResourceGraphDefinition para minimizar o risco de exploração.