CVE-2026-11752

Nome do Software Vulnerável e Versões Afetadas armeria-xds versões 1.38.0 a 1.39.0

Descrição O DataSourceStream no módulo xDS resolve os campos filename e environment variable de recursos de Segredo SDS sem uma lista de permissões ou confinamento de diretório base. Isso permite que um plano de controle xDS comprometido ou semi-confiável, ou um invasor realizando um ataque de man-in-the-middle em respostas SDS, leia arquivos locais e variáveis de ambiente arbitrárias no host do cliente xDS. Esta divulgação de informações pode ser usada para exfiltrar dados sensíveis, como chaves privadas TLS, arquivos do sistema, credenciais de nuvem e tokens de banco de dados. O problema está localizado no componente xds/src/main/java/com/linecorp/armeria/xds/DataSourceStream.java.

Recomendações Atualize para a versão 1.40.0. Certifique-se de que o canal do plano de controle xDS esteja autenticado e criptografado usando mTLS para evitar a injeção de respostas SDS maliciosas. Execute o cliente xDS com permissões mínimas de sistema de arquivos e um ambiente restrito para limitar o impacto de leituras arbitrárias. Use bytes de DataSource inline entregues via fluxo SDS em vez de segredos baseados em arquivos e audite as configurações do plano de controle para garantir que não existam DataSources de filename ou environment variable.