Vulnerabilidad en Garden (CVE-2023-44392)

Garden proporciona automatización para el desarrollo y las pruebas de Kubernetes. Antes de las versiones 0.13.17 y 0.12.65, Garden dependía de cryo library, que es vulnerable a la inyección de código debido a una implementación insegura de la deserialización. Garden almacena objetos serializados usando cryo en los recursos `ConfigMap` de Kubernetes con el prefijo `test-result` y `run-result` para almacenar en caché los resultados de la prueba y ejecución de Garden. Estos `ConfigMaps` se almacenan en el espacio de nombres `garden-system` o en el espacio de nombres de usuario configurado. Cuando un usuario invoca el comando "garden test" o "garden run", los objetos almacenados en "ConfigMap" se recuperan y deserializan. Esto puede ser utilizado por un atacante con acceso al clúster de Kubernetes para almacenar objetos maliciosos en el "ConfigMap", lo que puede desencadenar una ejecución remota de código en la máquina del usuario cuando cryo deserializa el objeto. Para aprovechar esta vulnerabilidad, un atacante debe tener acceso al clúster de Kubernetes utilizado para implementar entornos remotos de garden. Además, un usuario debe invocar activamente una "garden test" o una "garden run" que previamente haya almacenado en caché los resultados. El problema se solucionó en las versiones de Garden `0.13.17` (Bonsai) y `0.12.65` (Acorn). Sólo las versiones Garden anteriores a estas son vulnerables. No hay workarounds conocidos disponibles.