CVE-2025-2786

Nome do Software Vulnerável e Versões Afetadas Tempo Operator (versões afetadas não especificadas)

Descrição Foi encontrada uma falha no Tempo Operator, em que ele cria um ServiceAccount, ClusterRole e ClusterRoleBinding quando um usuário implanta uma instância TempoStack ou TempoMonolithic. Esta falha permite que um usuário com acesso total ao seu namespace extraia o token do ServiceAccount e o utilize para enviar solicitações TokenReview e SubjectAccessReview, potencialmente revelando informações sobre as permissões de outros usuários. Embora isso não permita escalonamento de privilégios ou personificação, expõe informações que poderiam auxiliar na coleta de informações para ataques futuros.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.