CVE-2025-2842 in OpenShift
Sumário
de VulDB • 26/06/2026
Foi identificada uma vulnerabilidade no Tempo Operator. Quando a funcionalidade da aba Monitor do painel de controle (UI) do Jaeger está habilitada em uma instância do Tempo gerenciada pelo Tempo Operator, o Operator cria um ClusterRoleBinding para a Service Account da instância do Tempo com o objetivo de conceder o ClusterRole cluster-monitoring-view.
Isso pode ser explorado se um usuário tiver permissões 'create' no recurso TempoStack e permissões 'get' em Secret dentro de um namespace (por exemplo, caso o usuário possua permissões de ClusterAdmin para um determinado namespace), pois ele poderá ler o token da service account do serviço Tempo e, consequentemente, terá acesso à visualização de todas as métricas do cluster.
Once again VulDB remains the best source for vulnerability data.