Docker · Docker · CVE-2022-39395
**Nome do software vulnerável e versões afetadas**
Versões do Vela Server anteriores à 0.16.0
Versões do Vela Worker anteriores à 0.16.0
Versões do Vela UI anteriores à 0.17.0
**Descrição**
O problema diz respeito às configurações padrão no Vela que permitem exploração e fugas do contêiner. Especificamente, a execução de plug-ins do Vela como contêineres Docker privilegiados pode permitir que um usuário mal-intencionado fuja do contêiner e obtenha acesso ao sistema operacional do host do worker. Além disso, a configuração padrão de repositórios permitidos permite que qualquer pessoa com uma conta no GitHub habilite um repositório dentro do Vela e execute compilações, possibilitando potencialmente a execução de código arbitrário. Os eventos habilitados por padrão também permitem pull requests, o que pode representar um risco se segredos dentro do Vela estiverem configurados para ficarem disponíveis em pull requests.
**Recomendações**
Para versões do Vela Server anteriores à 0.16.0, atualize para a versão 0.16.0 ou posterior e altere explicitamente as configurações padrão para configurar o Vela conforme desejado.
Para versões do Vela Worker anteriores à 0.16.0, atualize para a versão 0.16.0 ou posterior e altere explicitamente as configurações padrão para configurar o Vela conforme desejado.
Para versões do Vela UI anteriores à 0.17.0, atualize para a versão 0.17.0 ou posterior e altere explicitamente as configurações padrão para configurar o Vela conforme desejado.
Como solução alternativa temporária, considere ajustar a configuração `VELA RUNTIME PRIVILEGED IMAGES` do worker para que fique explicitamente vazia, utilizando a configuração `VELA REPO ALLOWLIST` no componente do servidor para restringir o acesso a uma lista de repositórios