CVE-2026-42876

Nome do Software Vulnerável e Versões Afetadas External Secrets Operator versões anteriores a 2.4.1

Descrição Um usuário com permissões para criar recursos ExternalSecret pode fazer com que o operador crie um Secret que o Kubernetes preenche automaticamente com um token de longa duração para uma conta de serviço especificada. Isso permite que o usuário personifique qualquer conta de serviço no namespace sem precisar de permissões diretas de criação em TokenRequest ou Secrets desse tipo.

Recomendações Atualize para a versão 2.4.1. Adicione lógica de controle de admissão para evitar o uso de Templates direcionados a Tipos indesejados. Remova a geração de Token de Conta de Serviço via flags do kube-controller-manager. Restrinja o RBAC do Usuário em clusters de produção e namespaces sensíveis.