CVE-2026-34984 in external-secrets정보

요약

\~에 의해 VulDB • 2026. 05. 22.

External Secrets Operator는 제3자 서비스에서 정보를 읽어들여 Kubernetes Secrets로 자동으로 주입합니다. 버전 2.2.0 및 그 이하 버전에는 runtime/template/v2/template.go에서 취약점이 존재합니다. 여기서 v2 템플릿 엔진은 Sprig의 TxtFuncMap()에서 env 및 expandenv를 제거하지만, getHostByName 함수는 사용자 제어 템플릿에서 접근 가능한 상태로 남겨둡니다. ESO는 컨트롤러 프로세스 내에서 템플릿을 실행하므로, 템플릿화된 ExternalSecret 리소스를 생성하거나 업데이트할 수 있는 공격자는 비밀 값에서 유도된 값을 사용하여 컨트롤러 측 DNS 조회를 호출할 수 있습니다. 이는 DNS 기반 정보 유출(primitive)을 생성하여, 공격자의 워크로드에서 직접적인 외부 네트워크 접근이 필요하지 않더라도 DNS 쿼리를 통해 가져온 비밀 자료(시크릿 머티리얼)가 유출될 수 있게 합니다. 이 영향은 특히 신뢰할 수 없거나 신뢰도가 낮은 사용자가 템플릿화된 ExternalSecret 리소스를 작성할 수 있고 컨트롤러가 DNS 해석 능력을 가진 환경에서 기밀성 문제입니다. 이 문제는 버전 2.3.0에서 수정되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 03. 31.

모더레이션

수락

항목

VDB-357235

EPSS

0.00262

출처

Might our Artificial Intelligence support you?

Check our Alexa App!