Vulnerabilidad en Kyverno (CVE-2025-47281)

Kyverno es un motor de políticas diseñado para equipos de ingeniería de plataformas nativas de la nube. En las versiones 1.14.1 y anteriores, existe una vulnerabilidad de denegación de servicio (DoS) debido al manejo inadecuado de las sustituciones de variables JMESPath. Los atacantes con permisos para crear o actualizar políticas de Kyverno pueden manipular expresiones utilizando la variable {{@}} combinada con una barra vertical y una función JMESPath no válida (p. ej., {{@ | non_existent_function }}). Esto provoca la sustitución de un valor nulo en la estructura de la política. El procesamiento posterior por funciones internas, en concreto getValueAsStringMap, que esperan valores de cadena, genera un pánico debido a un error en la aserción de tipo (la interfaz {} es nula, no de cadena). Esto bloquea los subprocesos de trabajo de Kyverno en el controlador de admisión y provoca bloqueos continuos del pod del controlador de informes. Esto se ha corregido en la versión 1.14.2.