CVE-2025-62159

Nome do Software Vulnerável e Versões Afetadas External Secrets Operator versões 0.10.1 a 0.19.2

Descrição O External Secrets Operator lê informações de um serviço de terceiros e injeta automaticamente os valores como Secrets do Kubernetes. Existe uma falha na implementação do provedor BeyondTrust na qual o provedor recuperava anteriormente Secrets do Kubernetes diretamente, sem validar o contexto do namespace ou o tipo de SecretStore. Isso permitiu acesso não autorizado a Secrets entre namespaces, potencialmente expondo credenciais sensíveis. O problema foi corrigido na versão 0.20.0 mediante o uso do utilitário resolvers.SecretKeyRef, que impõe a validação do namespace e restringe o acesso entre namespaces aos tipos ClusterSecretStore.

Recomendações Atualize para a versão 0.20.0 ou posterior do External Secrets Operator. Como solução alternativa, utilize um motor de políticas como Kyverno ou OPA para impedir o uso do provedor BeyondTrust. Como solução alternativa, valide o (Cluster)SecretStore e garanta que o namespace só possa ser definido ao utilizar um ClusterSecretStore.