Tommy Murphy

**Nome do software vulnerável e versões afetadas: Versões anteriores à v0.0.6 do plugin Vault do driver CSI do Kubernetes Secrets Store Versões anteriores à v0.0.10 do plugin Azure do driver CSI do Kubernetes Secrets Store Versões anteriores à v0.2.0 do plugin GCP do driver CSI do Kubernetes Secrets Store Descrição: A vulnerabilidade permite que um invasor, capaz de criar objetos SecretProviderClass especialmente criados, grave em caminhos de arquivo arbitrários no sistema de arquivos do host, incluindo /var/lib/kubelet/pods. Isso pode ser feito explorando a vulnerabilidade nos plug-ins do Kubernetes Secrets Store CSI Driver. Recomendações: Para versões anteriores à v0.0.6 do plug-in Vault do driver CSI do Kubernetes Secrets Store, atualize para a versão v0.0.6 ou posterior. Para versões anteriores à v0.0.10 do plug-in Azure do driver CSI do Kubernetes Secrets Store, atualize para a versão v0.0.10 ou posterior. Para versões do plug-in GCP do driver CSI do Kubernetes Secrets Store anteriores à v0.2.0, atualize para a versão v0.2.0 ou posterior. Como solução alternativa temporária, considere restringir a criação de objetos SecretProviderClass para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do driver CSI do Kubernetes Secrets Store de v0.0.15 a v0.0.16 Descrição: A vulnerabilidade permite que um invasor capaz de modificar um recurso `SecretProviderClassPodStatus/Status` grave conteúdo no sistema de arquivos do host e sincronize o conteúdo dos arquivos com os Segredos do Kubernetes. Isso inclui caminhos sob `var/lib/kubelet/pods` que contêm outros Segredos do Kubernetes. A modificação do status do pod permite a traversal de diretórios no host. Recomendações: Para as versões v0.0.15 e v0.0.16, considere restringir o acesso ao recurso `SecretProviderClassPodStatus/Status` para impedir a modificação por partes não autorizadas. Como solução alternativa temporária, considere desativar a capacidade de modificar recursos `SecretProviderClassPodStatus/Status` até que um patch esteja disponível. Restrinja o acesso a caminhos sob `var/lib/kubelet/pods` para minimizar o risco de exploração.