Vulnerabilidad en Weave GitOps (CVE-2022-23508)

Weave GitOps es una sencilla plataforma de desarrollo de código abierto para personas que desean aplicaciones nativas de la nube, sin necesidad de experiencia en Kubernetes. Una vulnerabilidad en la ejecución de GitOps podría permitir que un usuario o proceso local altere los recursos de un clúster de Kubernetes. La ejecución de GitOps tiene un depósito S3 local que utiliza para sincronizar archivos que luego se aplican en un clúster de Kubernetes. Su punto final no tenía controles de seguridad para bloquear el acceso no autorizado, lo que permitía a los usuarios (y procesos) locales en la misma máquina ver y alterar el contenido del depósito. Al aprovechar esta vulnerabilidad, un atacante podría elegir una carga de trabajo de su elección e inyectarla en el depósito de S3, lo que resultó en la implementación exitosa en el clúster de destino, sin la necesidad de proporcionar ninguna credencial ni al depósito de S3 ni al clúster de Kubernetes de destino. . No existen soluciones alternativas para este problema; actualice. Esta vulnerabilidad se solucionó mediante las confirmaciones 75268c4 y 966823b. Los usuarios deben actualizar a la versión Weave GitOps >= v0.12.0 lanzada el 12/08/2022. ### Soluciones alternativas No existe ninguna solución alternativa para esta vulnerabilidad. ### Referencias divulgadas por Paulo Gomes, ingeniero de software senior, Weaveworks. ### Para obtener más información Si tiene alguna pregunta o comentario sobre este aviso: - Abra una incidencia en [repositorio Weave GitOps](https://github.com/weaveworks/weave-gitops) - Envíenos un correo electrónico a [support@weave .works](correo a:support@weave.works)