CVE-2026-34984 in external-secrets
الملخص
بحسب VulDB • 10/05/2026
يقرأ External Secrets Operator المعلومات من خدمة تابعة لجهة خارجية ويقوم بحقن القيم تلقائيًا كـ Kubernetes Secrets. تحتوي الإصدارات 2.2.0 وما دونها على ثغرة في الملف runtime/template/v2/template.go، حيث يقوم محرك القوالب v2 بإزالة الدالتين env و expandenv من Sprig's TxtFuncMap()، لكنه يترك دالة getHostByName متاحة للقوالب التي يتحكم فيها المستخدم. نظرًا لأن ESO ينفذ القوالب داخل عملية وحدة التحكم (controller process)، يمكن لمهاجم قادر على إنشاء أو تحديث موارد ExternalSecret المعتمدة على القوالب، استدعاء عمليات بحث DNS من جانب وحدة التحكم باستخدام قيم مشتقة من الأسرار. وهذا يخلق آلية لاستخراج البيانات عبر DNS (DNS exfiltration primitive)، مما يتيح تسرب المواد السرية المسترجعة عبر استعلامات DNS دون الحاجة إلى وصول مباشر إلى الشبكة الخارجية من جانب عمل المهاجم. تمثل هذه الثغرة مشكلة تتعلق بالسرية، خاصة في البيئات التي يمكن للمستخدمين غير الموثوق بهم أو ذوي مستوى ثقة منخفض من تأليف موارد ExternalSecret المعتمدة على القوالب، ولدى وحدة التحكم القدرة على حل أسماء DNS. تم إصلاح هذه المشكلة في الإصدار 2.3.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.