PT-2026-5761 · Kubernetes+1 · Ingress-Nginx+1
Maxime Escourbiac
+1
·
Publicado
2026-02-02
·
Atualizado
2026-04-19
·
CVE-2026-24512
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
ingress-nginx versões anteriores à v1.13.7
ingress-nginx versões 1.14.0 a 1.14.2
Descrição
O campo
rules.http.paths.path do Ingress no ingress-nginx pode ser explorado para injetar configuração no nginx. Isso pode resultar em execução arbitrária de código no contexto do controlador do ingress-nginx e possível divulgação de segredos acessíveis ao controlador. Em uma instalação padrão, o controlador tem acesso a todos os segredos em todo o cluster. A vulnerabilidade está na manipulação inadequada do parâmetro rules.http.paths.path, permitindo que uma configuração maliciosa seja injetada.Recomendações
Atualize o ingress-nginx para a versão 1.13.7 ou posterior.
Atualize o ingress-nginx para uma versão superior a 1.14.2.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Red Os
Ingress-Nginx