Vulnerabilidad en kcp (CVE-2025-29922)

kcp es un plano de control similar a Kubernetes para formatos y casos de uso más allá de Kubernetes y cargas de trabajo de contenedores. Antes de la versión 0.26.3, la vulnerabilidad identificada permitía crear o eliminar un objeto mediante APIExport VirtualWorkspace en cualquier espacio de trabajo de destino arbitrario para recursos preexistentes. Por diseño, esto solo debería permitirse cuando el propietario del espacio de trabajo decide otorgar acceso a un proveedor de API mediante la creación de un APIBinding. Con esta vulnerabilidad, un atacante puede crear y eliminar objetos incluso si no se cumple ninguno de estos requisitos; es decir, incluso si no existe ningún APIBinding en ese espacio de trabajo o si el propietario del espacio de trabajo ha creado un APIBinding, pero ha rechazado una solicitud de permiso. Se ha identificado una solución para este problema y se ha publicado en kcp 0.26.3 y 0.27.0.