CVE-2024-28236

Versões do Vela anteriores à 0.23.2

Os pipelines do Vela podem usar substituição de variáveis combinada com campos não confidenciais, como parameters, image e entrypoint, para injetar segredos em um plugin/imagem e contornar o mascaramento de logs, expondo segredos sem o uso do bloco de comandos. Esse comportamento inesperado afeta principalmente segredos restritos pela opção “no commands”, levando ao uso indesejado do valor do segredo e ao aumento do risco de exposição do segredo durante a execução da imagem. O autor do pipeline deve fornecer segredos a um plugin que imprima parâmetros nos logs, e os parâmetros devem ser tratados como insensíveis. Embora o Vela ofereça mascaramento de segredos, a exposição de segredos não é totalmente resolvida pelo processo de mascaramento, e cabe ao usuário final compreender como os valores injetados em um plugin são utilizados.

Para versões anteriores à 0.23.2, atualize para a versão 0.23.2 para resolver o problema.

Para usuários que não possam atualizar, não forneça valores confidenciais a plug-ins que possam potencialmente expô-los, especialmente em parameters que não se destinam a ser usados para valores confidenciais.

Certifique-se de que os plug-ins sigam as melhores práticas para evitar o registro de parâmetros que se espera que sejam confidenciais.

Minimize o uso de segredos com eventos pull request habilitados.

Utilize a configuração de aprovação de compilação, restringindo compilações de usuários não confiáveis.

Limite o uso de segredos compartilhados, pois eles são, por natureza, menos restritivos quanto ao acesso.