CVE-2026-4342

Name of the Vulnerable Software and Affected Versions ingress-nginx versões anteriores a v1.13.9, v1.14.5 e v1.15.1

Description Existe uma falha de segurança no ingress-nginx onde uma combinação de anotações de Ingress pode ser usada para injetar configuração no nginx. Isso pode levar à execução de código arbitrário no contexto do controlador ingress-nginx e à divulgação de Secrets acessíveis ao controlador. Em uma instalação padrão, o controlador tem acesso a todos os Secrets em todo o cluster. Estima-se que 100 mil a 1 milhão de ambientes globalmente possam ser afetados, particularmente configurações empresariais e em nuvem. A exploração requer acesso à API do Kubernetes com privilégios baixos (por exemplo, a capacidade de criar recursos Ingress). A vulnerabilidade permite que invasores injetem configurações maliciosas do nginx por meio de combinações de anotações, levando potencialmente à execução remota de código (RCE). O controlador ingress-nginx é vulnerável à injeção de configuração por meio de anotações de Ingress especialmente criadas. Os invasores podem aproveitar isso para executar código arbitrário dentro do contexto do controlador e potencialmente acessar informações confidenciais, incluindo Secrets do cluster.

Recommendations Atualize para a versão 1.13.9 ou posterior, 1.14.5 ou posterior ou 1.15.1 ou posterior do ingress-nginx.