Vulnerabilidad en Bare Metal Operator (CVE-2025-29781)

Bare Metal Operator (BMO) implementa una API de Kubernetes para administrar hosts de hardware en Metal3. Este operador permite a los usuarios cargar secretos desde espacios de nombres arbitrarios al implementar el recurso personalizado `BMCEventSubscription` con ámbito de espacio de nombres. Antes de las versiones 0.8.1 y 0.9.1, una cuenta de Kubernetes adversaria con roles solo a nivel de espacio de nombres (por ejemplo, un inquilino que controla un espacio de nombres) podía crear una `BMCEventSubscription` en su espacio de nombres autorizado y luego cargar secretos desde sus espacios de nombres no autorizados a su espacio de nombres autorizado mediante el Baremetal Operator, lo que causaba una fuga de secretos. El parche hace que BMO se niegue a leer secretos de un espacio de nombres diferente al del recurso BMH correspondiente. El parche no modifica la API `BMCEventSubscription` en BMO, pero una validación más estricta fallará la solicitud en el momento de la admisión. También impedirá que el controlador lea dichos secretos, en caso de que el BMCES CR ya se haya implementado. El problema existe en todas las versiones de BMO y está corregido en las versiones 0.9.1 y 0.8.1 de BMO. Antes de actualizar a la versión corregida de BMO, duplique cualquier secreto existente al que apunte `httpHeadersRef` de `BMCEventSubscription` en el mismo espacio de nombres donde exista el BMH correspondiente. Tras la actualización, elimine los secretos antiguos. Como workaround, el operador puede configurar el RBAC de BMO para que tenga alcance de espacio de nombres, en lugar de clúster, para evitar que BMO acceda a secretos de otros espacios de nombres, o bien usar la opción de configuración `WATCH_NAMESPACE` para limitar BMO a un solo espacio de nombres.