CVE-2026-46389

Nome do Software Vulnerável e Versões Afetadas UDS Identity Config versões 0.11.0 a 0.26.0

Descrição Um erro de lógica existe no autenticador de cliente Keycloak client-kubernetes-secret. Este erro faz com que o client secret enviado seja sobrescrito pelo segredo do Kubernetes montado antes que a comparação ocorra. Um invasor que consiga acessar o endpoint de token do Keycloak e conheça um client id que utilize este autenticador pode se autenticar como esse cliente usando qualquer valor para o client secret para obter tokens OAuth2 com o escopo da conta de serviço do cliente. Caso o cliente uds-operator seja o alvo, o token obtido pode ser usado para registrar ou modificar outros clientes.

Recomendações Atualizar para a versão 0.26.1.