CVE-2026-44245

Nome do Software Vulnerável e Versões Afetadas Kyverno versões anteriores a 2.5.2

Descrição O componente PropertyCard.vue utiliza a diretiva v-html do Vue 3, que injeta HTML bruto e desativa a auto-escapagem. A função isURL() filtra apenas valores que são interpretados como URLs http: ou https:, permitindo que qualquer carga útil HTML que não comece com esses esquemas ignore a proteção e flua diretamente para o DOM. Os dados afetados originam-se dos campos .results[].properties do PolicyReport do Kubernetes, que são mapas de strings arbitrários que podem ser preenchidos por mecanismos de política ou qualquer principal com acesso de escrita a objetos PolicyReport no cluster.

Recomendações Atualize para a versão 2.5.2.