CVE-2020-8561

Kubernetes (versões afetadas não especificadas)

Foi descoberta uma falha de segurança no Kubernetes em que agentes que controlam as respostas das solicitações MutatingWebhookConfiguration ou ValidatingWebhookConfiguration conseguem redirecionar solicitações do kube-apiserver para redes privadas do apiserver. Se esse usuário puder visualizar os logs do kube-apiserver quando o nível de log estiver definido como 10, ele poderá ver as respostas redirecionadas e os cabeçalhos nos logs. A vulnerabilidade está relacionada a erros no processamento de hiperlinks, o que pode permitir que um invasor remoto acesse dados confidenciais. Além disso, o kube-apiserver, o scheduler, o controller-manager e o kubelet têm a criação de perfis habilitada por padrão, e o acesso a essas informações pode ser obtido acessando o endpoint /debug/pprof/profile, embora sejam necessários direitos RBAC para o kube-apiserver, o kube-controller-manager e o kube-scheduler.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.