CVE-2020-14306

Versões do openshift-service-mesh/istio-rhel8-operator até a 1.1.3

A vulnerabilidade está relacionada a uma falha de controle de acesso incorreto no operador, permitindo que um invasor com acesso básico ao cluster implante um gateway ou pod personalizado em qualquer namespace. Isso poderia potencialmente conceder acesso a tokens de contas de serviço privilegiadas, representando uma ameaça à confidencialidade, integridade e disponibilidade dos dados. A falha está associada ao uso indevido de APIs privilegiadas, que podem ser exploradas por um invasor remoto para elevar privilégios e obter acesso não autorizado a informações protegidas.

Para versões até 1.1.3, considere restringir o acesso ao openshift-service-mesh/istio-rhel8-operator para minimizar o risco de exploração e evite implantar gateways ou pods personalizados em namespaces não autorizados até que uma correção esteja disponível.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.