CVE-2026-34984 in external-secretsالمعلومات

الملخص

بحسب VulDB • 10/05/2026

يقرأ External Secrets Operator المعلومات من خدمة تابعة لجهة خارجية ويقوم بحقن القيم تلقائيًا كـ Kubernetes Secrets. تحتوي الإصدارات 2.2.0 وما دونها على ثغرة في الملف runtime/template/v2/template.go، حيث يقوم محرك القوالب v2 بإزالة الدالتين env و expandenv من Sprig's TxtFuncMap()، لكنه يترك دالة getHostByName متاحة للقوالب التي يتحكم فيها المستخدم. نظرًا لأن ESO ينفذ القوالب داخل عملية وحدة التحكم (controller process)، يمكن لمهاجم قادر على إنشاء أو تحديث موارد ExternalSecret المعتمدة على القوالب، استدعاء عمليات بحث DNS من جانب وحدة التحكم باستخدام قيم مشتقة من الأسرار. وهذا يخلق آلية لاستخراج البيانات عبر DNS (DNS exfiltration primitive)، مما يتيح تسرب المواد السرية المسترجعة عبر استعلامات DNS دون الحاجة إلى وصول مباشر إلى الشبكة الخارجية من جانب عمل المهاجم. تمثل هذه الثغرة مشكلة تتعلق بالسرية، خاصة في البيئات التي يمكن للمستخدمين غير الموثوق بهم أو ذوي مستوى ثقة منخفض من تأليف موارد ExternalSecret المعتمدة على القوالب، ولدى وحدة التحكم القدرة على حل أسماء DNS. تم إصلاح هذه المشكلة في الإصدار 2.3.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

31/03/2026

إفشاء

14/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-357235

EPSS

0.00262

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!