CVE-2025-5187

Nome do Software Vulnerável e Versões Afetadas: Versões do kube-apiserver 1.31.11 e anteriores Versões do kube-apiserver 1.32.7 e anteriores Versões do kube-apiserver 1.33.3 e anteriores

Descrição: Nós comprometidos podem excluir a si mesmos e alterar seus rótulos via OwnerReferences. Um invasor que obteve acesso a um nó pode utilizar o kubeconfig do kubelet para contornar o NodeRestrictionPlugin definindo um OwnerReference com um objeto inexistente no nó. Isso causa a exclusão do nó comprometido e permite que o invasor aplique taints ou rótulos a um nó recém-criado, controlando quais contêineres são iniciados no nó comprometido recriado. A correção envolve adicionar verificações para impedir atualizações no ownerReference por parte de um nó.

Recomendações: Atualize o kube-apiserver para a versão 1.31.12 ou posterior. Atualize o kube-apiserver para a versão 1.32.8 ou posterior. Atualize o kube-apiserver para a versão 1.33.4 ou posterior. Habilite o plugin OwnerReferencesPermissionEnforcement para mitigar o problema.