Vulnerabilidad en Laf (CVE-2023-48225)

Laf es una plataforma de desarrollo en la nube. Antes de la versión 1.0.0-beta.13, el control del entorno de la aplicación LAF no era lo suficientemente estricto y, en ciertos escenarios del entorno de privatización, puede provocar una filtración de información confidencial en secreto y en el mapa de configuración. En la sintaxis de ES6, si un objeto hace referencia directamente a otro objeto, el nombre del propio objeto se utilizará como clave y toda la estructura del objeto se integrará intacta. Al construir la instancia de implementación de la aplicación, se encontró env en la base de datos y se insertó directamente en la plantilla, lo que resultó en controlabilidad aquí. La información confidencial en el mapa secreto y de configuración se puede leer a través del campo envFrom de k8s. En un entorno de privatización, cuando `namespaceConf. fijo` está marcado, puede provocar la fuga de información confidencial en el sistema. Al momento de la publicación, no está claro si existen parches o workarounds.