CVE-2021-41266

Versões do Minio Console anteriores à 0.12.3

O Minio Console está sujeito a uma falha de contorno de autenticação na Console do Operador quando um IDP externo está habilitado. Essa falha afeta todos os usuários da versão v0.12.2 e anteriores. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não foram relatados incidentes reais em que essa vulnerabilidade tenha sido explorada. Os detalhes técnicos sobre a exploração incluem o uso de autenticação por IDP externo. Para explorar essa vulnerabilidade, um invasor precisaria atacar o Console do Operador com um IDP externo habilitado.

Para versões anteriores à 0.12.3, atualize para a versão 0.12.3 ou mais recente.

Para usuários que não possam atualizar, adicione automountServiceAccountToken: false à implantação do operator-console no Kubernetes e desative a autenticação do provedor de identidade externo desmarcando as variáveis de ambiente CONSOLE IDP URL, CONSOLE IDP CLIENT ID, CONSOLE IDP SECRET e CONSOLE IDP CALLBACK, e use o token da conta de serviço do Kubernetes em seu lugar.