CVE-2020-4053

Versões do Helm 3.0.0 a 3.2.3

É possível um ataque de traversal de caminho ao instalar plug-ins do Helm a partir de um arquivo tar via HTTP, permitindo que um autor mal-intencionado de plug-ins injete um caminho relativo no arquivo do plug-in e copie um arquivo para fora do diretório pretendido. Esse problema pode levar à divulgação de informações e, potencialmente, permitir que um invasor sobrescreva arquivos executáveis, arquivos de configuração ou outros recursos confidenciais, resultando na execução remota de comandos na máquina da vítima.

Para as versões 3.0.0 a 3.2.3 do Helm, atualize para a versão 3.2.4 para resolver o problema. Como solução alternativa temporária, considere evitar a instalação de plug-ins do Helm a partir de arquivos tar via HTTP até que a atualização seja aplicada. Restrinja o acesso ao pacote helm.sh/helm/v3/pkg/plugin/installer para minimizar o risco de exploração. Evite usar HTTP para instalar plug-ins do Helm a partir de arquivos tar até que o problema seja resolvido.