Temporal: Vulnerabilidad permite acceso a otros 'namespaces'

Investigadores de depthfirst han descubierto una vulnerabilidad de seguridad (CVE-2025-14986) en el endpoint ExecuteMultiOperation de Temporal, una plataforma de ejecución duradera utilizada por empresas como Netflix, Stripe y Datadog. La vulnerabilidad, identificada el 5 de febrero de 2026, es un fallo de 'identity-binding' que permite a un atacante autenticarse en un namespace (AttackerNS) y, a través de una operación interna dentro de la solicitud, influir en la configuración de otro namespace (VictimNS). Esto crea un escenario de 'Confused Deputy', permitiendo brechas de aislamiento entre inquilinos (cross-tenant) o la capacidad de eludir políticas organizacionales (Bring Your Own Policy). El problema surge porque el sistema verifica la identidad en el nivel externo de la solicitud, pero confía en la identidad especificada en la carga útil interna para la preparación de la solicitud y la aplicación de políticas. La vulnerabilidad ha sido corregida en la versión 1.27 de Temporal.