CVE-2025-24376

Nome do Software Vulnerável e Versões Afetadas Versões do kubewarden-controller anteriores à 1.21.0

Descrição O problema diz respeito à validação de recursos com escopo de namespace pelas políticas AdmissionPolicy e AdmissionPolicyGroup no kubewarden-controller. Um atacante pode explorar isso para impedir a criação e atualização de objetos PolicyReport, que contêm listas de objetos em não conformidade encontrados dentro de um namespace, ocultando assim recursos em não conformidade. Além disso, um AdmissionPolicy mutante pode alterar o conteúdo dos recursos PolicyReport. As regras de validação foram reforçadas a partir da versão 1.21.0 para impedir a validação de tipos sensíveis de recursos com escopo de namespace.

Recomendações Para versões anteriores à 1.21.0, aplique a política Kubewarden fornecida para impedir a criação de recursos AdmissionPolicy e AdmissionPolicyGroup que interajam com recursos PolicyReport. A política, nomeada "deny-interaction-with-policyreport", restringe o uso de curingas ao definir regras de apiGroups e resources para objetos AdmissionPolicy e AdmissionPolicyGroup, e impede que essas políticas tenham como alvo recursos PolicyReport.

Para versões anteriores à 1.21.0, considere atualizar para a versão 1.21.0 ou posterior, onde as regras de validação aplicadas a AdmissionPolicy e AdmissionPolicyGroup foram reforçadas para impedir que validem tipos sensíveis de recursos com escopo de namespace.

Como solução temporária, considere restringir o acesso aos recursos PolicyReport para minimizar o risco de exploração. Evite usar os recursos admissionpolicies e admissionpolicygroups nos endpoints da API afetados até que o problema seja resolvido.