Thevilledev

**Name of the Vulnerable Software and Affected Versions** Kyverno versões anteriores a 1.17.2 Kyverno versões anteriores a 1.16.4 **Description** Uma asserção de tipo não verificada no manipulador de mutação `forEach` permite que um usuário com permissões para criar uma `Policy` ou `ClusterPolicy` faça com que o controlador de segundo plano de todo o cluster entre em um CrashLoopBackOff persistente, que é um estado onde um contêiner falha e reinicia repetidamente. Este problema também faz com que o controlador de admissão derrube conexões e bloqueie todas as operações de recursos correspondentes. O loop de falhas persiste até que a política seja excluída. Este problema está limitado ao mecanismo legado, enquanto políticas baseadas em CEL não são afetadas. **Recommendations** Atualizar para a versão 1.17.2 Atualizar para a versão 1.16.4

**Name of the Vulnerable Software and Affected Versions** Argo Workflows versões 3.6.5 até 3.6.19 Argo Workflows versões 3.7.0-rc1 até 3.7.12 Argo Workflows versões 4.0.0-rc1 até 4.0.4 **Description** Um índice de array não verificado na função `podGCFromPod()` do pod informer causa um pânico em todo o controlador quando um pod de fluxo de trabalho contém uma anotação `workflows.argoproj.io/pod-gc-strategy` malformada. Como o pânico ocorre dentro de uma goroutine do informer fora do escopo de recuperação do controlador, ele derruba todo o processo do controlador. O pod contaminado persiste após as reinicializações, levando a um loop de falhas que interrompe todo o processamento de fluxos de trabalho até que o pod seja excluído manualmente. Isso permite que qualquer usuário com permissão para enviar fluxos de trabalho cause uma negação de serviço contra todos os fluxos de trabalho no cluster. **Recommendations** Atualizar Argo Workflows versões 3.6.5 até 3.6.19 para a versão 3.6.20 ou superior. Atualizar Argo Workflows versões 3.7.0-rc1 até 3.7.12 para a versão 3.7.14. Atualizar Argo Workflows versões 4.0.0-rc1 até 4.0.4 para a versão 4.0.5.

**Name of the Vulnerable Software and Affected Versions** Argo Workflows versions 2.9.0 through 4.0.1 Argo Workflows version 3.7.11 **Description** Argo Workflows is a container-native workflow engine for Kubernetes. A user who can submit Workflows can bypass security settings defined in a `WorkflowTemplate` by including a `podSpecPatch` field in their Workflow submission. This bypass occurs even when the controller is configured with `templateReferencing: Strict`, which is intended to restrict users to admin-approved templates. The `podSpecPatch` field takes precedence during spec merging and is applied to the pod spec without security validation. Specifically, the merge priority order is Workflow Spec > WorkflowTemplate Spec > WorkflowDefault Spec. The `ApplyPodSpecPatch()` function only validates the JSON syntax of the patch, without checking for dangerous security settings. This allows attackers to override security settings like running containers as root, enabling privileged mode, mounting the host filesystem, and adding all Linux capabilities. Exploitation can grant a user full root access to the underlying Kubernetes node. **Recommendations** Argo Workflows versions prior to 4.0.2 must be updated. Argo Workflows version 3.7.11 must be installed.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Kubewarden anteriores à 1.33.0 **Descrição** O Kubewarden é um mecanismo de políticas para Kubernetes. Um atacante com permissões privilegiadas de criação de "AdmissionPolicy" poderia explorar três APIs de callback de host depreciadas: `kubernetes/ingresses`, `kubernetes/namespaces` e `kubernetes/services`. Ao criar uma política que utilize essas APIs, um atacante obtém acesso de leitura aos recursos Ingresses, Namespaces e Services. Este acesso é somente leitura, sem capacidades de escrita e sem acesso a dados sensíveis como Secrets ou ConfigMaps. O atacante poderia potencialmente revelar a topologia interna do cluster ao ler informações de Service, e acessar nomes e labels de namespace, e hostnames e regras de roteamento de Ingress. **Recomendações** Atualize a imagem do policy-server utilizada pelos PolicyServers para a versão 1.33.0. Alternativamente, reduza temporariamente as permissões dos usuários para impedir que eles criem ou atualizem AdmissionPolicies ou AdmissionPolicyGroups com escopo de namespace.

**Name of the Vulnerable Software and Affected Versions** opa-envoy-plugun versions prior to 1.13.2-envoy-2 **Description** The `opa-envoy-plugun` plugin has an issue in how the `input.parsed path` field is constructed. HTTP request paths are treated as full URIs during parsing, leading to the interpretation of leading path segments prefixed with double slashes (`//`) as authority components, and subsequently dropping them from the parsed path. This discrepancy between the path evaluated by the authorization filter and the path served by the backend server can allow attackers to bypass access controls by crafting malicious requests. The issue arises when authorization policies rely on `input.parsed path` for path-based decisions, and backend servers apply lenient path normalization. The affected request pattern examples demonstrate how the `input.parsed path` field can differ from the actual request path, potentially leading to unauthorized access. The `input.attributes.request.http.path` field contains the unprocessed, raw request path. **Recommendations** Versions prior to 1.13.2-envoy-2: Upgrade to version 1.13.2-envoy-2 or later. Versions prior to 1.13.2-envoy-2: Enable the `merge slashes` Envoy configuration option. Versions prior to 1.13.2-envoy-2: Use `input.attributes.request.http.path` instead of `input.parsed path` in policies.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Kyverno anteriores à 1.16.3 Versões do Kyverno anteriores à 1.15.3 **Descrição** O Kyverno é um mecanismo de políticas para equipes de engenharia de plataforma cloud native. As versões afetadas apresentam consumo de memória ilimitado dentro do mecanismo de políticas. Usuários com privilégios de criação de políticas podem desencadear uma negação de serviço criando políticas que amplificam exponencialmente dados de string usando variáveis de contexto. Este problema é semelhante a um ataque do estilo 'Billion Laughs', onde um invasor pode fazer o sistema travar esgotando a memória disponível. **Recomendações** Atualize para a versão 1.16.3 ou posterior do Kyverno. Atualize para a versão 1.15.3 ou posterior do Kyverno.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Kyverno anteriores a 1.16.3 e 1.15.3 **Descrição** O Kyverno, um mecanismo de políticas para equipes de engenharia de plataforma nativa da nuvem, contém uma violação crítica de limite de autorização no `apiCall` de Policy do Kyverno com escopo de namespace. O `urlPath` resolvido é executado usando o ServiceAccount do controlador de admissão do Kyverno sem impor limitações de namespace. Isso permite que qualquer usuário autenticado com permissão para criar uma Policy com escopo de namespace realize requisições à API Kubernetes usando a identidade do controlador de admissão do Kyverno, potencialmente tendo como alvo qualquer caminho de API permitido pelo RBAC daquele ServiceAccount. Isso compromete o isolamento de namespace, permitindo leituras entre namespaces de recursos como ConfigMaps e Secrets, e permite gravações com escopo de cluster ou entre namespaces, como a criação de ClusterPolicies, ao controlar o `urlPath` por meio de substituição de variáveis de contexto. A vulnerabilidade existe na forma como o Kyverno trata entradas de contexto `apiCall`, especificamente a substituição de variáveis no campo `URLPath` sem sanitização adequada ou validação de autorização. Um atacante pode construir qualquer caminho de API válido para acessar e modificar recursos aos quais não deveria ter acesso. Isso pode levar à exfiltração de dados, à interrupção de todo o cluster através da criação de recursos `ClusterPolicy` maliciosos e à potencial escalonação de privilégios. A vulnerabilidade afeta tanto a recuperação de dados quanto a capacidade de criar recursos em nível de cluster. **Recomendações** Atualize o Kyverno para a versão 1.16.3 ou 1.15.3.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Argo CD de 2.1.0 a 2.14.19 Versões do Argo CD de 3.0.0-rc1 a 3.0.18 Versões do Argo CD de 3.1.0-rc1 a 3.1.7 Versão do Argo CD 3.2.0-rc1 **Descrição** O Argo CD, uma ferramenta de entrega contínua GitOps declarativa para Kubernetes, está suscetível a uma condição de corrida em seu manipulador de credenciais de repositório. Essa condição ocorre quando operações simultâneas são executadas na mesma URL de repositório, potencialmente causando um panic e falha no servidor do Argo CD. O problema reside em manipuladores relacionados ao repositório dentro do arquivo `util/db/repository secrets.go`, especificamente em funções como `secretToRepoCred`. A condição de corrida origina-se do acesso simultâneo a mapas sem a proteção adequada de mutex, desencadeada por operações de credenciais de repositório (criar, atualizar ou excluir) juntamente com ressincronizações de informer do Kubernetes e watchers em segundo plano. A exploração requer um token de API válido com permissões de recurso `repositories`, permitindo que atacantes acionem repetidamente a condição e mantenham um estado de negação de serviço, interrompendo operações GitOps. **Recomendações** Atualize para a versão 2.14.20 ou posterior do Argo CD. Atualize para a versão 3.0.19 ou posterior do Argo CD. Atualize para a versão 3.1.8 ou posterior do Argo CD. Atualize para a versão 3.2.0-rc2 ou posterior do Argo CD.

**Name of the Vulnerable Software and Affected Versions:** CoreDNS versions 1.2.0 through 1.12.3 **Description:** CoreDNS, a DNS server that chains plugins, contains a TTL confusion vulnerability within the etcd plugin. This flaw arises from the incorrect use of lease IDs as TTL values, potentially enabling DNS cache pinning attacks. Specifically, the `TTL()` function in `plugin/etcd/etcd.go` casts etcd lease IDs (64-bit integers) to uint32, resulting in excessively large TTLs when the lease ID is large. This allows attackers to pin DNS cache entries for extended periods, leading to a denial of service for DNS resolution of affected services. An attacker with etcd write access can exploit this by writing or updating a key with any lease, causing downstream resolvers and clients to cache answers for years. **Recommendations:** CoreDNS versions prior to 1.12.4 are affected. Update to CoreDNS version 1.12.4 or later to resolve this issue.

**Name of the Vulnerable Software and Affected Versions** Kyverno versions 1.14.1 and below **Description** Kyverno is susceptible to a Denial of Service (DoS) vulnerability stemming from improper handling of JMESPath variable substitutions. Attackers possessing permissions to create or update Kyverno policies can exploit this by crafting expressions utilizing the `{{@}}` variable in conjunction with a pipe and an invalid JMESPath function (e.g., `{{@ | non existent function }}`). This results in a `nil` value being substituted into the policy structure. Subsequent processing by the `getValueAsStringMap` function, which expects string values, triggers a panic due to a type assertion failure. This can crash Kyverno worker threads within the admission controller and cause continuous crashes of the reports controller pod, potentially leading to service degradation or unavailability. **Recommendations** Kyverno versions prior to 1.14.2 are affected. Update to version 1.14.2 or later to resolve this issue.

**Nome do Software Vulnerável e Versões Afetadas** Versões do CoreDNS anteriores à 1.12.2 Versões do CoreDNS anteriores à 1.21.2 **Descrição** Existe um problema de Negação de Serviço (DoS) na implementação do servidor DNS-over-QUIC (DoQ) do CoreDNS. Anteriormente, o servidor criava uma nova goroutine para cada stream QUIC recebida, sem impor quaisquer limites ao número de streams ou goroutines concorrentes. Um atacante remoto e não autenticado poderia abrir um grande número de streams, levando ao consumo descontrolado de memória e eventualmente causando uma falha por Out Of Memory (OOM) — especialmente em ambientes containerizados ou com restrição de memória. A correção introduz dois mecanismos principais de mitigação: `max streams`, que limita o número de streams QUIC concorrentes por conexão com um valor padrão de `256`; e `worker pool size`, que introduz um pool de trabalhadores limitado em todo o servidor para processar streams recebidas com um valor padrão de `1024`. **Recomendações** Para versões anteriores à 1.12.2, atualize para a versão 1.12.2 ou posterior. Para versões anteriores à 1.21.2, atualize para a versão 1.21.2 ou posterior. Como solução temporária, considere desabilitar o suporte a QUIC removendo ou comentando o bloco `quic://` no Corefile. Utilize limites de recursos do runtime de container para detectar e isolar o uso excessivo de memória. Monitore os padrões de conexão QUIC e gere alertas sobre anomalias.

**Nome do Software Vulnerável e Versões Afetadas** Versões do cpp-httplib anteriores à 0.20.1 **Descrição** O cpp-httplib é uma biblioteca de servidor e cliente HTTP/HTTPS em C++ composta apenas por cabeçalhos (header-only). Versões anteriores à 0.20.1 não impõem limites de tamanho configurados nos corpos das requisições de entrada quando `Transfer-Encoding: chunked` é utilizado ou quando nenhum cabeçalho `Content-Length` é fornecido. Isso permite que um atacante remoto envie uma requisição chunked sem o chunk final de tamanho zero, levando à alocação de memória descontrolada. Isso pode resultar no esgotamento da memória do sistema e na queda ou indisponibilidade do servidor. **Recomendações** Atualize para o cpp-httplib versão 0.20.1 ou posterior. Como medida paliativa temporária, implemente um proxy reverso (por exemplo, Nginx, HAProxy) e configure-o para impor limites máximos de tamanho do corpo da requisição.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Argo Events anteriores a 1.9.6 **Descrição** O Argo Events é um framework de automação de fluxo de trabalho orientado a eventos para Kubernetes. Um usuário com permissão para criar ou modificar recursos personalizados EventSource e Sensor pode obter acesso privilegiado ao sistema host e ao cluster, mesmo sem ter privilégios administrativos diretos. Os CRs EventSource e Sensor permitem que o pod orquestrado correspondente seja personalizado com spec.template e spec.template.container, portanto, qualquer especificação sob container, como command, args, securityContext, volumeMount, pode ser especificada e aplicada ao pod EventSource ou Sensor. Com isso, um usuário seria capaz de obter acesso privilegiado ao host do cluster se especificasse o CR EventSource/Sensor com algumas propriedades particulares em template. **Recomendações** Para versões anteriores a 1.9.6, atualize para a versão 1.9.6 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso aos recursos personalizados EventSource e Sensor para impedir que os usuários os criem ou modifiquem com propriedades privilegiadas. Adicionalmente, restrinja o uso de spec.template e spec.template.container nos CRs EventSource e Sensor para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Beego anteriores à 2.3.6 **Descrição** O Beego é um framework web de código aberto para a linguagem de programação Go. Existe uma vulnerabilidade de Cross-Site Scripting (XSS) na função `RenderForm()` devido ao escape inadequado de HTML em dados controlados pelo usuário. Isso permite que atacantes injetem código JavaScript malicioso que é executado nos navegadores das vítimas, podendo levar a sequestro de sessão, roubo de credenciais ou tomada de conta. A vulnerabilidade afeta qualquer aplicação que utilize a função `RenderForm()` do Beego com dados fornecidos pelo usuário. A função `RenderForm()` gera toda a marcação de um formulário e não realiza o escape de atributos automaticamente, criando um risco para ataques de injeção. A vulnerabilidade está localizada na função `renderFormField()` no arquivo `templatefunc.go` (aproximadamente nas linhas 316-356), onde valores fornecidos pelo usuário são injetados diretamente no HTML sem o escape adequado. **Recomendações** Atualize o Beego para a versão 2.3.6 ou posterior.