CVE-2020-8562

**Nome do software vulnerável e versões afetadas:

Versões do Kubernetes anteriores a uma versão corrigida (não há menção a uma versão corrigida específica)

Descrição:

A vulnerabilidade diz respeito a uma tentativa de mitigação do Kubernetes para impedir que conexões proxy acessem redes link-local ou localhost. No entanto, um usuário pode contornar a restrição de IP do proxy e acessar redes privadas no plano de controle se um servidor DNS não padrão retornar respostas diferentes não armazenadas em cache. Isso pode ser explorado por meio de vários métodos, incluindo proxy em endereços fora do cluster, SSRF por meio de nós falsos e exploração de uma vulnerabilidade TOCTOU. O número estimado de dispositivos potencialmente afetados não foi especificado.

Recomendações:

Como solução temporária, considere desativar a função kubectl proxy até que um patch esteja disponível. Restrinja o acesso ao servidor da API do Kubernetes para minimizar o risco de exploração. Evite usar o campo status nos manifestos de Pod para redirecionar solicitações para endereços arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.