Vulnerabilidad en un SemVer en el campo "version" en unas llamadas a la API en los Gráficos en los archivos "index.yaml" en Helm (CVE-2021-21303)

"Helm es un software de código abierto que es esencialmente ""The Kubernetes Package Manager"". Helm es una herramienta para gestionar Gráficos. Los Gráficos son paquetes de recursos Kubernetes preconfigurados. En Helm versiones desde 3.0 y anteriores a 3.5.2, había algunos casos en los que los datos cargados desde fuentes potencialmente no confiables no eran saneados apropiadamente. Cuando un SemVer en el campo ""version"" de un gráfico no es válido, en algunos casos Helm permite que la cadena sea usada ""as is"" sin sanearla. Helm no sanea apropiadamente algunos campos presentes en los archivos ""index.yaml"" del repositorio Helm. Helm no sanea correctamente algunos campos del fichero ""plugin.yaml"" para los plugins En algunos casos, Helm no sanea apropiadamente los campos del fichero ""Chart.yaml"". Al explotar estos vectores de ataque, los mantenedores principales fueron capaces de enviar información engañosa a una pantalla de terminal que ejecutaba el comando ""helm"", así como oscurecer o alterar la información en la pantalla. En algunos casos, podíamos enviar códigos que los terminales usaban para ejecutar lógica de orden superior, como borrar la pantalla de un terminal. Además, durante la evaluación, los mantenedores de Helm detectaron algunos otros campos que no estaban apropiadamente saneados cuando se leían desde los archivos de índice del repositorio. Esta corrección remedia todos estos casos, y una vez más aplica las políticas de SemVer2 en los campos version. Todos los usuarios de Helm 3 deberían actualizar a la versión corregida 3.5.2 o posterior. Aquellos que usen Helm como una biblioteca deberían verificar que sanean estos datos por su cuenta, o que usan las llamadas apropiadas a la API de Helm para sanear los datos