Vulnerabilidad en kubewarden-controller de Kubernetes (CVE-2025-24784)

kubewarden-controller es un controlador de Kubernetes que le permite registrar dinámicamente las políticas de admisión de Kubewarden. La función de grupo de políticas, agregada por la versión 1.17.0. Al tener un espacio de nombres, AdmissionPolicyGroup tiene un impacto bien restringido en los recursos del clúster. Por lo tanto, se considera seguro permitir que los usuarios que no son administradores creen y administren estos recursos en los espacios de nombres que poseen. Se puede permitir que las políticas de Kubewarden consulten la API de Kubernetes en el momento de la evaluación; estos tipos de políticas se denominan "conscientes del contexto". Las políticas conscientes del contexto pueden realizar operaciones de lista y obtención en un clúster de Kubernetes. Las consultas se realizan utilizando la ServiceAccount de la instancia del servidor de políticas que aloja la política. Eso significa que el acceso al clúster está determinado por las reglas de RBAC que se aplican a esa ServiceAccount. El CRD de AdmissionPolicyGroup permitió la implementación de políticas conscientes del contexto. Esto podría permitir que un atacante obtenga información sobre recursos que están fuera de su alcance, aprovechando un mayor acceso al clúster otorgado al token ServiceAccount utilizado para ejecutar la política. El impacto de esta vulnerabilidad depende de los privilegios que se hayan otorgado al ServiceAccount utilizado para ejecutar Policy Server y supone que los usuarios están utilizando las mejores prácticas recomendadas para mantener el ServiceAccount del Policy Server con los privilegios mínimos. De forma predeterminada, el gráfico de Helm de Kubewarden otorga acceso únicamente a los siguientes recursos (en todo el clúster): espacio de nombres, pod, implementación e ingreso. Esta vulnerabilidad se corrigió en la versión 1.21.0.