Vulnerabilidad en External Secrets Operator (CVE-2025-55196)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
13/08/2025
Última modificación:
14/08/2025
Descripción
External Secrets Operator de Kubernetes que integra sistemas externos de gestión de secretos. Desde la versión 0.15.0 hasta la 0.19.2, se descubrió una vulnerabilidad en la que las llamadas List() para los recursos Secret y SecretStore de Kubernetes, realizadas por el controlador PushSecret, no aplicaban un selector de espacio de nombres. Esta falla permitía a un atacante usar selectores de etiquetas para listar y leer secretos y almacenes de secretos en el clúster, eludiendo las restricciones de espacio de nombres previstas. Un atacante con la capacidad de crear o actualizar recursos PushSecret y controlar las configuraciones de SecretStore podría explotar esta vulnerabilidad para extraer datos confidenciales de espacios de nombres arbitrarios. Esto podría provocar la divulgación completa de secretos de Kubernetes, incluyendo credenciales, tokens y otra información confidencial almacenada en el clúster. Esta vulnerabilidad se ha corregido en la versión 0.19.2. Una solución alternativa para este problema incluye auditar y restringir los permisos RBAC para que solo las cuentas de servicio de confianza puedan crear o actualizar recursos PushSecret y SecretStore.
Impacto
Puntuación base 4.0
7.10
Gravedad 4.0
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/external-secrets/external-secrets/commit/39cdba5863533007b582dc63dd300839326b2f1d
- https://github.com/external-secrets/external-secrets/commit/de40e8f4fa9559c1d770bb674589b285da5ef2d1
- https://github.com/external-secrets/external-secrets/pull/5109
- https://github.com/external-secrets/external-secrets/pull/5133
- https://github.com/external-secrets/external-secrets/security/advisories/GHSA-fcxq-v2r3-cc8h