CVE-2026-34984 in external-secrets
Zusammenfassung
von VulDB • 30.05.2026
Der External Secrets Operator liest Informationen von einem Drittanbieterdienst und injiziert diese Werte automatisch als Kubernetes Secrets. Die Versionen 2.2.0 und älter enthalten eine Schwachstelle in runtime/template/v2/template.go, bei der die v2-Vorlagen-Engine `env` und `expandenv` aus Sprigs `TxtFuncMap()` entfernt, die Funktion `getHostByName` jedoch für benutzerkontrollierte Vorlagen weiterhin zugänglich lässt. Da ESO Vorlagen innerhalb des Controller-Prozesses ausführt, kann ein Angreifer, der in der Lage ist, templatisierte ExternalSecret-Ressourcen zu erstellen oder zu aktualisieren, DNS-Lookups auf Controller-Seite unter Verwendung von aus Secrets abgeleiteten Werten auslösen. Dies schafft eine DNS-Exfiltrations-Primitivfunktion, die es ermöglicht, abgerufene Secret-Daten über DNS-Abfragen zu leaken, ohne dass der Angreifer direkten ausgehenden Netzwerkzugriff von seiner Workload benötigt. Die Auswirkung ist ein Vertraulichkeitsproblem, insbesondere in Umgebungen, in denen nicht vertrauenswürdige oder weniger vertrauenswürdige Benutzer templatisierte ExternalSecret-Ressourcen erstellen können und der Controller über DNS-Auflösungsfähigkeiten verfügt. Dieses Problem wurde in Version 2.3.0 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.