CVE-2025-24784

Nome do Software Vulnerável e Versões Afetadas Versões do kubewarden-controller de 1.17.0 a 1.20.x

Descrição O problema permite que um atacante obtenha informações sobre recursos que estão fora de seu alcance, aproveitando um acesso maior ao cluster concedido ao token do ServiceAccount usado para executar a política. O impacto deste problema depende dos privilégios concedidos ao ServiceAccount usado para executar o Policy Server e pressupõe que os usuários estejam utilizando as melhores práticas recomendadas de manter o ServiceAccount do Policy Server com privilégio mínimo. Por padrão, o chart do Helm do Kubewarden concede acesso apenas aos seguintes recursos: Namespace, Pod, Deployment e Ingress. As políticas do Kubewarden podem ser autorizadas a consultar a API do Kubernetes no momento da avaliação, e esses tipos de políticas são chamados de "cientes de contexto". Políticas cientes de contexto podem realizar operações de listagem e obtenção em um cluster Kubernetes usando o ServiceAccount da instância do Policy Server que hospeda a política.

Recomendações Para as versões de 1.17.0 a 1.20.x, atualize para a versão 1.21.0 ou posterior para resolver o problema. Como solução temporária para versões anteriores à 1.21.0, considere aplicar uma política do Kubewarden para prevenir a criação de recursos AdmissionPolicyGroup que tenham acesso a recursos do Kubernetes, como a política fornecida na descrição do OSV. Restrinja o acesso ao recurso AdmissionPolicyGroup para minimizar o risco de exploração. Evite usar políticas cientes de contexto até que o problema seja resolvido.