CVE-2025-27403

Nome do Software Vulnerável e Versões Afetadas: Versões do Ratify anteriores a 1.2.3 Versões do Ratify anteriores a 1.3.2

Descrição: O problema diz respeito a um mecanismo de verificação que possibilita a verificação de metadados de segurança de artefatos. Em um ambiente Kubernetes, o mecanismo pode ser configurado para autenticar em um Registro de Contêineres do Azure (ACR) privado usando provedores de autenticação de Identidade de Carga de Trabalho do Azure e Identidade Gerenciada do Azure. Esses provedores tentam trocar um token do Entra ID (EID) por um token de atualização do ACR. No entanto, eles não verificavam se o registro de destino é um ACR, o que poderia levar à apresentação do token do EID a um registro não-ACR durante a troca de token. Isso poderia potencialmente permitir que tokens do EID com acesso ao ACR fossem extraídos e abusados caso uma carga de trabalho do usuário contenha uma referência de imagem para um registro malicioso.

Recomendações: Para versões anteriores a 1.2.3, atualize para a versão 1.2.3 ou posterior para adicionar nova validação antes da troca de token do EID. Para versões anteriores a 1.3.2, atualize para a versão 1.3.2 ou posterior para adicionar nova validação antes da troca de token do EID. Como solução temporária, considere restringir o acesso aos provedores de autenticação do Azure até que o problema seja resolvido. Evite usar referências de imagem para registros maliciosos para minimizar o risco de exploração.