CVE-2025-48710

Nome do Software Vulnerável e Versões Afetadas kro (Kube Resource Orchestrator) versões 0.1.0 até 0.2.1

Descrição A falha permite que usuários com permissão para criar ou modificar recursos ResourceGraphDefinition forneçam imagens de contêiner arbitrárias. Isso pode levar a um cenário de "confused deputy", onde os controladores do kro implantam e executam imagens controladas pelo atacante, resultando em execução remota de código sem autenticação nos nós do cluster.

Recomendações Para as versões 0.1.0 até 0.2.1, atualize para a versão 0.2.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso para criar ou modificar recursos ResourceGraphDefinition para minimizar o risco de exploração.