CVE-2024-45041

Versões do External Secrets Operator anteriores à 0.10.2

O External Secrets Operator é um operador do Kubernetes que integra sistemas externos de gerenciamento de segredos. Ele possui uma implantação chamada default-external-secrets-cert-controller, que está vinculada a um ClusterRole com o mesmo nome. Este ClusterRole possui os verbos “get/list” para recursos de segredos e o verbo “path/update” para recursos de validação de configurações de webhook. Isso pode ser usado para abusar do token SA da implantação a fim de recuperar ou obter todos os segredos em todo o cluster, capturar e registrar todos os dados de solicitações que tentam atualizar segredos, ou fazer com que um webhook recuse todas as solicitações de criação e atualização de Pods.

Para versões anteriores à 0.10.2, atualize para a versão 0.10.2 para corrigir essa vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso à implantação default-external-secrets-cert-controller e ao ClusterRole associado para minimizar o risco de exploração. Evite usar os verbos get/list dos recursos secrets e o verbo path/update dos recursos validatingwebhookconfigurations no ClusterRole afetado até que o problema seja resolvido.