CVE-2025-24030

Nome do Software Vulnerável e Versões Afetadas Versões do Envoy Gateway anteriores à 1.2.6

Descrição Um usuário com acesso ao cluster Kubernetes pode utilizar um ataque de path traversal para executar comandos da interface Admin do Envoy em proxies gerenciados pelo Envoy Gateway. A interface admin pode ser usada para encerrar o processo do Envoy e extrair a configuração do Envoy, que pode conter dados confidenciais. A API EnvoyProxy pode ser usada para aplicar um patch de configuração de bootstrap que restringe o acesso estritamente ao endpoint de estatísticas do prometheus, como o endpoint "/stats/prometheus". Por exemplo, o seguinte comando pode ser usado para obter o dump de configuração do proxy: curl --path-as-is http://<Proxy-Service-ClusterIP>:19001/stats/prometheus/../../config dump.

Recomendações Para versões anteriores à 1.2.6, atualize para a versão 1.2.6 para corrigir o problema. Como solução alternativa temporária, considere usar a API EnvoyProxy para aplicar um patch de configuração de bootstrap que restringe o acesso estritamente ao endpoint de estatísticas do prometheus. Restrinja o acesso ao endpoint /stats/prometheus para minimizar o risco de exploração. Aplique um patch de configuração de bootstrap, como o exemplo de JSONPatch fornecido, para restringir o acesso ao endpoint de estatísticas do prometheus.