Se ha reportado una vulnerabilidad de severidad alta en ingress-nginx que podría omitir validaciones para inyectar comandos arbitrarios y obtener credenciales del controlador ingress-nginx.
Productos Afectados
- Controlador ingress-nginx, versiones anteriores a 1.11.2
- Controlador ingress-nginx, versiones anteriores a 1.10.4
Impacto
La vulnerabilidad se identifica como CVE-2024-7646, con una puntuación en CVSSv3 de 8.8 de severidad alta, afecta al controlador Ingress-Nginx. La debilidad radica en un fallo en el proceso de validación de las anotaciones en los objetos Ingress que podría permitir inyectar comandos arbitrarios y obtener credenciales del controlador ingress-nginx
Recomendación
- Actualizar a la última versión del parche disponible del producto afectado desde la página web oficial del fabricante.
Referencias
- https://github.com/kubernetes/kubernetes/issues/126744