Vulnerabilidad en Flux (CVE-2022-36035)

Flux es una herramienta para mantener los clusters Kubernetes sincronizados con las fuentes de configuración (como los repositorios Git), y para automatizar las actualizaciones de la configuración cuando se presenta nuevo código que desplegar. Flux CLI permite a usuarios desplegar componentes de Flux en un clúster de Kubernetes por medio de la línea de comandos. La vulnerabilidad permite que otras aplicaciones sustituyan la información de despliegue de Flux por contenido arbitrario que es desplegado en el clúster Kubernetes de destino. La vulnerabilidad es debido a un manejo inapropiado de la entrada suministrada por el usuario, lo que resulta en un recorrido de ruta que puede ser controlado por el atacante. Los usuarios que compartan el mismo shell entre otras aplicaciones y los comandos CLI de Flux podrían verse afectados por esta vulnerabilidad. En algunos escenarios no presentan errores, lo que puede causar que usuarios finales no den cuenta de que algo anda mal. Una mitigación segura es ejecutar Flux CLI en entornos de shell efímeros y aislados, lo que puede garantizar que no existan valores persistentes de procesos anteriores. Sin embargo, la actualización a la última versión de la CLI sigue siendo la estrategia de mitigación recomendada