Original

External Secrets Operatorはサードパーティサービスから情報を読み取り、その値を自動的にKubernetes Secretsとして注入します。バージョン2.2.0以下にはruntime/template/v2/template.goに脆弱性があり、v2テンプレートエンジンはSprigのTxtFuncMap()からenvおよびexpandenvを削除しますが、getHostByName関数をユーザーが制御できるテンプレートでアクセス可能なままにしています。ESOはコントローラープロセス内でテンプレートを実行するため、テンプレート化されたExternalSecretリソースを作成または更新できる攻撃者は、シークレット由来の値を使ってコントローラー側のDNSルックアップを呼び出すことが可能です。これによりDNS経由で秘密情報を漏洩させるDNSエクスフィルトレーションの手段が生じ、攻撃者のワークロードからの直接的なアウトバウンドネットワークアクセスを必要としません。この影響は機密性に関わる問題であり、特に信頼されていないまたは信頼度の低いユーザーがテンプレート化されたExternalSecretリソースを作成でき、かつコントローラーにDNS解決機能がある環境で顕著に現れます。この問題はバージョン2.3.0で修正されました。