CVE-2024-42363

Versões do Kubernetes anteriores à 3385

O problema decorre do parâmetro role, controlado pelo usuário, que é inserido no aplicativo no Kubernetes::RoleVerificationsController. Esse parâmetro é encaminhado para o inicializador RoleConfigFile e, em seguida, para o método Kubernetes::Util.parse file, onde é deserializado de forma insegura usando o método YAML.load stream. Isso pode levar à execução remota de código (RCE).

Para versões anteriores à 3385, atualize para a versão 3385 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao Kubernetes::RoleVerificationsController para minimizar o risco de exploração. Evite usar o parâmetro role no endpoint da API afetado até que o problema seja resolvido.