KEDA v2.18.3: что нового
Обзор релиза KEDA v2.18.3 — что важного, что сломали, стоит ли обновляться
Вышел KEDA 2.18.3. Это тот самый тип релиза, который не приносит ни новых фич, ни ярких breaking changes, но спать спокойнее с ним точно будешь.
Что важного
Весь фокус этого микро-релиза — одна строчка в fixes. Закрыли CVE-2025-68476. Если не вдаваться в детали, речь об уязвимости в библиотеке, которая теоретически может позволить атаку типа directory traversal. В контексте KEDA, который крутится в кластере и ходит к внешним метрикам, это не апокалипсис, но дыра есть дыра. Особенно если ваш KEDA общается с внешними системами по HTTP и кто-то очень упорный захочет этим воспользоваться. Фикс стандартный — апгрейд проблемной зависимости до патченной версии. Никакой магии, просто гигиена.
По сути, это плановое техническое обслуживание. Команда KEDA оперативно проехалась по security-предупреждениям и заклеила дыру, пока она не стала критической. Никаких изменений в API, логике работы скалеров или конфигурации. Просто безопасность.
Обновляться или подождать
Обновляться. Это патч-релиз, единственная цель которого — закрыть уязвимость. Тянет на definition «low-risk update». Откатываться, если что, будет не с чего — менялась лишь внутренняя библиотека. Если у вас настроен автоматический сканинг уязвимостей в образах, то этот релиз и так уже горит красным в ваших дашбордах. Поставьте и забудьте, пока не выйдет 2.19.