PT-2026-58726 · Amazon · Aws-Load-Balancer-Controller

Publicado

2026-07-14

·

Atualizado

2026-07-15

·

CVE-2026-15738

CVSS v3.1

8.5

Alta

VetorAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Amazon AWS Load Balancer Controller versões anteriores a 3.4.2
Descrição Existe um problema na geração de regras de listener da Gateway API onde as regras são ordenadas por tipo de rota em vez de especificidade quando um HTTPRoute e um GRPCRoute compartilham um listener ALB e um hostname. Isso permite que um usuário remoto autenticado com permissões de HTTPRoute em um namespace crie um recurso HTTPRoute manipulado que tenha precedência sobre um GRPCRoute mais restrito em outro namespace, podendo levar à interceptação, falsificação ou negação de tráfego gRPC em um Gateway compartilhado.
Recomendações Atualizar para a versão 3.4.2.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-15738

Produtos afetados

Aws-Load-Balancer-Controller