CVE-2025-29778

Nome do Software Vulnerável e Versões Afetadas Versões do Kyverno anteriores a 1.14.0-alpha.1

Descrição O Kyverno é um mecanismo de políticas projetado para equipes de engenharia de plataforma nativa da nuvem. Antes da versão 1.14.0-alpha.1, o Kyverno ignora os campos subjectRegExp e issuerRegExp ao verificar assinaturas de artefatos no modo keyless. Isso permite que um atacante implante recursos do Kubernetes com artefatos assinados por um certificado inesperado. A implantação desses recursos não autorizados do Kubernetes pode levar ao comprometimento total do cluster do Kubernetes. A vulnerabilidade ocorre porque o Kyverno verifica apenas os campos subject e issuer ao verificar assinaturas, enquanto os campos subjectRegExp e issuerRegExp, destinados a uma correspondência mais flexível, não são considerados.

Recomendações Atualize para a versão 1.14.0-alpha.1 ou posterior do Kyverno para resolver este problema.