原文

Spinnakerはオープンソースのマルチクラウド継続的デリバリープラットフォームです。2025.1.6、2025.2.3、および2025.3.0以前のバージョンにはサーバーサイドリクエストフォージェリ（SSRF）の脆弱性があります。主な影響としては、ユーザーがリモートURLからデータを取得できることが挙げられます。このデータはhelmやその他の方法を介してSpinnakerのパイプラインに注入され、idmsv1認証データのような情報を抽出可能です。これには、GETリクエストや類似のエンドポイントを介してSpinnakerの内部APIを呼び出すことも含まれます。さらに、問題となるアーティファクトによっては、認証データが任意のエンドポイント（例：GitHubの認証ヘッダー）に露出し、資格情報の漏洩につながる可能性があります。この脆弱性を引き起こすには、Spinnakerインストールに2つの条件が必要です。1つ目はユーザー入力を許可するアーティファクトが有効であることです。これにはGitHubファイルアーティファクト、BitBucket、GitLab、HTTPアーティファクトおよび類似のアーティファクトプロバイダーが含まれます。HTTPアーティファクトプロバイダーを有効にするだけで、認証なしのHTTPプロバイダーが追加され、リンクローカルデータ（例：AWSメタデータ情報）を抽出するために利用可能となります。2つ目はこれらのアーティファクトの出力を消費できるシステムが存在することです。例えば、Rosco helmはこれを使用して値データを取得できます。APIがJSONを返す場合、K8sアカウントマニフェストによりパイプライン自体にデータを注入できますが、その場合パイプラインは失敗します。この脆弱性はバージョン2025.1.6、2025.2.3、および2025.3.0で修正されています。回避策としては、ユーザーが指定したURLを入力可能なHTTPアカウントタイプを無効にすることですが、多くの場合現実的ではありません。GitやDockerなど明示的にURL設定を行うアーティファクトアカウントタイプはこの制限を回避し、アーティファクトURLの読み込みが制限されているため安全です。あるいは、無効なURLを含むパイプラインへのアクセスや保存を制限するOPAポリシーを提供する各種ベンダーの利用も推奨されます。