CVE-2026-34984

Nome do Software Vulnerável e Versões Afetadas External Secrets Operator versões anteriores a 2.3.0

Descrição O mecanismo de template v2 em runtime/template/v2/template.go remove env e expandenv do TxtFuncMap(), mas deixa a função getHostByName() acessível para templates controlados pelo usuário. Como o controlador executa templates dentro de seu próprio processo, um invasor capaz de criar ou atualizar recursos ExternalSecret com templates pode disparar consultas DNS no lado do controlador usando valores derivados de segredos. Isso cria um primitivo de exfiltração de DNS, permitindo que materiais de segredos recuperados sejam vazados via consultas DNS sem exigir acesso direto à rede externa a partir da carga de trabalho do invasor. Isso resulta em um problema de confidencialidade em ambientes onde usuários de menor confiança podem criar esses recursos e o controlador possui capacidade de resolução de DNS.

Recomendações Atualizar para a versão 2.3.0. Restringir a capacidade de usuários não confiáveis ou de menor confiança de criar ou atualizar recursos ExternalSecret com templates.