Vulnerabilidad en kubewarden-controller de Kubernetes (CVE-2025-24376)

kubewarden-controller es un controlador de Kubernetes que le permite registrar dinámicamente las políticas de admisión de Kubewarden. Por diseño, AdmissionPolicy y AdmissionPolicyGroup solo pueden evaluar recursos con espacios de nombres. Los recursos que se evaluarán están determinados por las reglas proporcionadas por el usuario al definir la política. Puede haber recursos con espacios de nombres de Kubernetes que no deberían ser validados por AdmissionPolicy y por las políticas AdmissionPolicyGroup debido a su naturaleza confidencial. Por ejemplo, PolicyReport son recursos con espacios de nombres que contienen la lista de objetos no compatibles que se encuentran dentro de un espacio de nombres. Un atacante puede usar AdmissionPolicy o AdmissionPolicyGroup para evitar la creación y actualización de objetos PolicyReport para ocultar recursos no compatibles. Además, el mismo atacante podría usar una AdmissionPolicy mutada para alterar el contenido del PolicyReport creado dentro del espacio de nombres. A partir de la versión 1.21.0, se han endurecido las reglas de validación aplicadas a AdmissionPolicy y AdmissionPolicyGroup para evitar que validen tipos confidenciales de recursos con espacios de nombres.