它们是Helm从3.1.0版到3.2.0版之前的一个信息泄漏漏洞。`lookup`是helmv3中引入的一个Helm模板函数。它能够在集群中查找资源，以检查是否存在特定的资源，并获得关于它们的详细信息。这可以用作渲染模板过程的一部分。“helm template”的记录行为表明它不附加到远程集群。但是，最近添加的“lookup”template函数绕过了这个限制，即使在“helm template”和“helm install | update | delete | rollback--dry run”期间也可以连接到集群。不会通知用户此行为。运行“helm template”不应调用群集。这与“install”不同，后者被假定有权访问集群，以便将资源加载到Kubernetes中。Helm 2不受此漏洞的影响。恶意图表作者可以将“lookup”插入到图表中，当通过“helm template”呈现时，该图表会针对用户的“KUBECONFIG”文件指向的群集执行未通知的查找。然后可以通过“helm template”的输出来公开这些信息。这个问题已经在helm3.2.0中修复了