CVE-2026-34984 in external-secretsinfo

Zusammenfassung

von VulDB • 30.05.2026

Der External Secrets Operator liest Informationen von einem Drittanbieterdienst und injiziert diese Werte automatisch als Kubernetes Secrets. Die Versionen 2.2.0 und älter enthalten eine Schwachstelle in runtime/template/v2/template.go, bei der die v2-Vorlagen-Engine `env` und `expandenv` aus Sprigs `TxtFuncMap()` entfernt, die Funktion `getHostByName` jedoch für benutzerkontrollierte Vorlagen weiterhin zugänglich lässt. Da ESO Vorlagen innerhalb des Controller-Prozesses ausführt, kann ein Angreifer, der in der Lage ist, templatisierte ExternalSecret-Ressourcen zu erstellen oder zu aktualisieren, DNS-Lookups auf Controller-Seite unter Verwendung von aus Secrets abgeleiteten Werten auslösen. Dies schafft eine DNS-Exfiltrations-Primitivfunktion, die es ermöglicht, abgerufene Secret-Daten über DNS-Abfragen zu leaken, ohne dass der Angreifer direkten ausgehenden Netzwerkzugriff von seiner Workload benötigt. Die Auswirkung ist ein Vertraulichkeitsproblem, insbesondere in Umgebungen, in denen nicht vertrauenswürdige oder weniger vertrauenswürdige Benutzer templatisierte ExternalSecret-Ressourcen erstellen können und der Controller über DNS-Auflösungsfähigkeiten verfügt. Dieses Problem wurde in Version 2.3.0 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

31.03.2026

Veröffentlichung

14.04.2026

Moderieren

akzeptiert

Eintrag

VDB-357235

CPE

bereit

EPSS

0.00262

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!