CVE-2022-31098

Versões do Weave GitOps anteriores à v0.8.1-rc.6

Uma vulnerabilidade no registro de logs do Weave GitOps pode permitir que um invasor remoto autenticado visualize configurações confidenciais de cluster, também conhecidas como KubeConfg, de clusters Kubernetes registrados, incluindo os tokens de contas de serviço em texto simples a partir dos logs de pod do Weave GitOps no cluster de gerenciamento. Um invasor remoto não autorizado também pode visualizar essas configurações confidenciais a partir de um armazenamento externo de logs, caso isso esteja habilitado pelo cluster de gerenciamento. Essa vulnerabilidade se deve ao fato de a fábrica de clientes descarregar as configurações do cluster e seus tokens de conta de serviço quando o gerenciador do cluster tenta se conectar a um servidor de API de um cluster registrado e ocorre um erro de conexão. Um invasor poderia explorar essa vulnerabilidade acessando os logs de um pod do Weave GitOps ou a partir de um armazenamento externo de logs e obtendo todas as configurações dos clusters registrados. Uma exploração bem-sucedida poderia permitir que o invasor usasse essas configurações de cluster para gerenciar os clusters Kubernetes registrados.

Atualize para a versão v0.8.1-rc.6 ou mais recente do Weave GitOps core.

Não há solução alternativa conhecida para esta vulnerabilidade.