CVE-2021-25746

ALT: (7.6)

CVSS6: 6.6

Kubernetes ingress-nginx podria permetre a un atacant remot autenticat obtenir informació sensible, causada per un control d’accés inadequat. Mitjançant l’enviament d’una sol·licitud especialment elaborada utilitzant les «.metadata.anotations» en un objecte d’Ingrés, un atacant podria explotar aquesta vulnerabilitat per obtenir les credencials del controlador d’entrada-nginx, i utilitzar aquesta informació per llançar nous atacs contra el sistema afectat.

Sistemes Afectats
kubernetes ingress-nginx 4.1.0

Remediació
Actualitzeu a l’última versió d’ingress-nginx (1.2.0 o posterior), disponible des del repositori GIT d’entrada-nginx.

Referències

• https://seclists.org/oss-sec/2022/q2/56
• https://github.com/kubernetes/ingress-nginx/issues/8503
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25746