Sintesi

Rilevata una vulnerabilità, con gravità “alta”, nel prodotto Kubernetes ingress-nginx, in cui un utente malintenzionato, con il permesso di creare degli “Ingress-objects”, potrebbe effettuare il bypass dei meccanismi di sicurezza per ottenere l’accesso a informazioni sensibili.

Tipologia

• Security Feature Bypass
• Arbitrary Code Execution
• Information Disclosure

Prodotti e/o versioni affette

Kubernetes,

• ingress-nginx controller, versioni precedenti alla 1.11.2
• ingress-nginx controller, versioni precedenti alla 1.10.4

Azioni di mitigazione

In linea con le dichiarazioni del vendor si raccomanda di intraprendere le azioni di mitigazione seguendo le istruzioni fornite nel bollettino di sicurezza riportato nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-7646

Riferimenti

https://github.com/kubernetes/kubernetes/issues/126744

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.