CVE-2020-26278

**Nome do software vulnerável e versões afetadas:

Versões do Weave Net anteriores à 2.8.0

Descrição:

O Weave Net é um software de código aberto que cria uma rede virtual conectando contêineres Docker em vários hosts e permite sua descoberta automática. Uma vulnerabilidade no Weave Net anterior à versão 2.8.0 pode permitir que um invasor assuma o controle de qualquer host no cluster. O manifesto que executa pods em todos os nós de um cluster Kubernetes define privileged: true e hostPID: true, conferindo-lhe poder significativo sobre o host. No entanto, a configuração hostPID: true não é necessária e está sendo removida. Essa vulnerabilidade pode ser explorada se houver uma vulnerabilidade adicional, como um bug no Kubernetes, ou uma configuração incorreta que permita que um invasor execute código dentro do pod do Weave Net. Não se tem conhecimento de nenhum bug desse tipo, e não há casos conhecidos de exploração dessa vulnerabilidade.

Recomendações:

Para versões do Weave Net anteriores à 2.8.0, atualize para a versão 2.8.0 para remover a configuração hostPID e transferir a instalação do plug-in CNI para um contêiner init.

Como solução alternativa temporária, edite a linha hostPID no manifesto do DaemonSet existente para definir false em vez de true, providencie outra forma de instalar os plug-ins CNI e remova essas montagens do manifesto do DaemonSet.