CVE-2024-52280

Versões do steve anteriores às que incluem os seguintes commits:

Foi descoberta uma vulnerabilidade na API Steve, permitindo que usuários monitorem recursos aos quais não têm permissão de acesso quando possuem pelo menos algumas permissões genéricas sobre o tipo. Por exemplo, um usuário que possa obter um único segredo em um único namespace pode obter todos os segredos em todos os namespaces. Isso ocorre porque, durante uma solicitação watch para um único ID, a API Steve usa o cliente de administração, que pode ler todos os recursos, em vez de um cliente que se faz passar pelo usuário que está fazendo a solicitação. Isso permite que qualquer solicitante veja o conteúdo de qualquer objeto, como chaves secretas, certificados de assinatura e tokens de API.

Para resolver esse problema, atualize para uma versão da Steve API que inclua as correções, como as versões que incluem os seguintes commits:

Como solução alternativa temporária, considere restringir o acesso à solicitação watch com um ID especificado, para minimizar