CSIRT Toscana Kubernetes: rilevata vulnerabilità in Ingress-NGINX (AL02/260320/CSIRT-ITA)
Data:
20 Marzo 2026
Impatto Sistemico
Alto (65.12)
Sintesi
Rilevata vulnerabilità con gravità “alta” nel prodotto Kubernetes “ingress-nginx”. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di eseguire codice arbitrario e accedere a informazioni sensibili sui sistemi interessati.
Tipologia
- Arbitrary Code Execution
- Information Disclosure
Prodotti e/o versioni affette
Kubernetes ingress-nginx
- 1.13.x, versioni precedenti alla 1.13.9
- 1.14.x, versioni precedenti alla 1.14.5
- 1.15.x, versioni precedenti alla 1.15.1
N.B. Si evidenzia che per i prodotti elencati, il vendor non rilascerà ulteriori patch, considerata la relativa data di fine supporto (EOL). Si consiglia pertanto la sostituzione del prodotto come da indicazioni del vendor fornite al link riportato nella sezione Riferimenti.
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Infine, per verificare l’eventuale avvenuta compromissione dei propri sistemi, si consiglia di valutare l’effettuazione delle verifiche riportate nello stesso bollettino.
Riferimenti
- https://github.com/kubernetes/kubernetes/issues/137893
- https://kubernetes.io/blog/2025/11/11/ingress-nginx-retirement/
CVE
| CVE-ID |
|---|
| CVE-2026-4342 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 20-03-2026 | 20/03/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
20 Marzo 2026, 10:13