PT-2026-58726 · Amazon · Aws-Load-Balancer-Controller
Publicado
2026-07-14
·
Atualizado
2026-07-15
·
CVE-2026-15738
CVSS v3.1
8.5
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Amazon AWS Load Balancer Controller versões anteriores a 3.4.2
Descrição
Existe um problema na geração de regras de listener da Gateway API onde as regras são ordenadas por tipo de rota em vez de especificidade quando um
HTTPRoute e um GRPCRoute compartilham um listener ALB e um hostname. Isso permite que um usuário remoto autenticado com permissões de HTTPRoute em um namespace crie um recurso HTTPRoute manipulado que tenha precedência sobre um GRPCRoute mais restrito em outro namespace, podendo levar à interceptação, falsificação ou negação de tráfego gRPC em um Gateway compartilhado.Recomendações
Atualizar para a versão 3.4.2.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Aws-Load-Balancer-Controller