CVE-2021-25745

ALT: (7.6)

CVSS6: 6.6

Kubernetes ingress-nginx podria permetre a un atacant remot autenticat obtenir informació sensible, causada per un control d’accés inadequat. Mitjançant l’enviament d’una sol·licitud especialment elaborada utilitzant el camp “spec.rules[].http.paths[].path” d’un objecte Ingress, un atacant podria explotar aquesta vulnerabilitat per obtenir les credencials del controlador ingress-nginx, i utilitzar aquesta informació per llançar més atacs contra el sistema afectat.

Sistemes Afectats
kubernetes ingress-nginx 4.1.0

Remediació
Actualitzeu a l’última versió d’ingress-nginx (1.2.0 o posterior), disponible des del repositori GIT d’entrada-nginx.

Referències

• https://seclists.org/oss-sec/2022/q2/55
• https://github.com/kubernetes/ingress-nginx/issues/8502
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25745