Smira

**Nome do Software Vulnerável e Versões Afetadas** Versões do Omni anteriores à 1.1.5 Versões do Omni anteriores à 1.0.2 **Descrição** O Omni, uma plataforma para gerenciamento de Kubernetes, pode divulgar informações sensíveis através de um endpoint de API nas versões afetadas. A plataforma opera em bare metal, máquinas virtuais e infraestruturas de nuvem. **Recomendações** Atualize o Omni para a versão 1.1.5 ou posterior. Atualize o Omni para a versão 1.0.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Omni anteriores à 0.48.0 **Descrição** O Omni, uma plataforma de gerenciamento do Kubernetes, possui uma vulnerabilidade potencial na qual o componente WireGuard SideroLink pode ser explorado para permitir a transmissão não autorizada de pacotes. O sistema estabelece uma conexão ponto a ponto usando WireGuard para autenticação e autorização mútuas. Embora o endereço IP de origem dos pacotes recebidos seja validado, o endereço de destino não é. Essa falta de validação do endereço de destino, combinada com a natureza não confiável do ambiente Talos e o acesso potencial de cargas de trabalho com rede do host, pode permitir que uma carga de trabalho maliciosa envie pacotes arbitrários através da interface SideroLink. **Recomendações** Atualize para a versão 0.48.0 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Talos anteriores à 1.2.2 **Descrição** O problema está relacionado à validação inadequada da solicitação durante a assinatura de uma CSR (Certificate Signing Request) do nó de trabalho, o que pode permitir que um nó do plano de controle do Talos emita um certificado da API do Talos com acesso total à API do Talos. Isso poderia revelar informações confidenciais e permitir acesso total ao cluster. O token de adesão da API do Talos é armazenado na configuração da máquina no nó de trabalho. Configurações incorretas, como permitir montagens `hostPath` ou ler a configuração da máquina a partir de um servidor de metadados na nuvem, podem permitir que uma carga de trabalho acesse a configuração da máquina e revele o token de adesão. **Recomendações** Para versões anteriores à 1.2.2, atualize para o Talos 1.2.2 para corrigir o problema. Como solução alternativa temporária, considere habilitar os Padrões de Segurança de Pod para negar montagens `hostPath` e redes de host por padrão na política de linha de base. Restrinja o acesso à configuração da máquina e proteja o acesso ao servidor de metadados na nuvem para minimizar o risco de exploração.