CVE-2026-22822

Nome do Software Vulnerável e Versões Afetadas Versões do External Secrets Operator de 0.20.2 até 1.2.0

Descrição O External Secrets Operator lê informações de um serviço de terceiros e injeta automaticamente os valores como Secrets do Kubernetes. A partir da versão 0.20.2 e antes da versão 1.2.0, a função de template getSecretKey poderia ser usada para buscar secrets entre namespaces com o roleBinding do controller external-secrets, contornando mecanismos de segurança. Esta função foi removida na versão 1.2.0. O problema permite acesso a secrets entre namespaces, potencialmente levando ao escalonamento de privilégios, exfiltração de dados ou comprometimento de contas de serviço e credenciais. A função getSecretKey aceita parâmetros como a-secret-name, another-namespace e a-key para especificar o secret a ser recuperado.

Recomendações Atualize para a versão 1.2.0 ou posterior do External Secrets Operator. Como solução alternativa, use uma engine de políticas como Kubernetes, Kyverno, Kubewarden ou OPA para prevenir o uso de getSecretKey em qualquer recurso ExternalSecret.