Gafnit Amiga

#11240de 53,638

24.5CVSS total

Vulnerabilidades · 3

Alta

3

Unknown · Ingress-Nginx · CVE-2021-25748

**Name of the Vulnerable Software and Affected Versions** ingress-nginx (affected versions not specified) **Description** A security issue was discovered in ingress-nginx where a user that can create or update ingress objects can use a newline character to bypass the sanitization of the `spec.rules[].http.paths[].path` field of an Ingress object to obtain the credentials of the ingress-nginx controller. In the default configuration, that credential has access to all secrets in the cluster. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Amazon · Aws-Iam-Authenticator · CVE-2022-2385

**Nome do software vulnerável e versões afetadas** Versões do aws-iam-authenticator anteriores à 0.5.9 **Descrição** Foi detectada uma falha de segurança no aws-iam-authenticator, na qual uma identidade IAM incluída na lista de permissões pode ser capaz de alterar seu nome de usuário e escalar privilégios. **Recomendações** Para versões anteriores à 0.5.9, atualize para a versão 0.5.9 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às identidades IAM incluídas na lista de permissões para minimizar o risco de exploração.

Unknown · Ingress-Nginx · CVE-2021-25745

**Nome do software vulnerável e versões afetadas** ingress-nginx (versões afetadas não especificadas) **Descrição** Foi descoberta uma falha de segurança no ingress-nginx, na qual um usuário capaz de criar ou atualizar objetos Ingress pode utilizar o campo `spec.rules[].http.paths[].path` de um objeto Ingress para obter as credenciais do controlador ingress-nginx. Na configuração padrão, essa credencial tem acesso a todos os segredos no cluster. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.