Se han descubierto vulnerabilidades de severidad alta en productos Kubernetes Ingress-NGINX. Un actor malicioso podría ejecutar código arbitrario y acceder a información sensible dentro de la infraestructura del clúster afectado.
Productos afectados
- Controlador Ingress-NGINX para Kubernetes: versiones anteriores a la 1.13.7.
- Controlador Ingress-NGINX para Kubernetes: versiones anteriores a la 1.14.3.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-1580: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada incorrecta en la anotación «nginx.ingress.kubernetes.io/auth-method». Un actor malicioso autenticado con permisos para crear o modificar objetos de Ingress podría inyectar configuraciones arbitrarias en el archivo de configuración de NGINX. Esto podría permitir la ejecución de código en el contexto del controlador y la divulgación de información confidencial del clúster.
CVE-2026-24512: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada incorrecta en el campo «rules.http.paths.path» de los recursos Ingress. Un actor malicioso podría inyectar directivas de configuración maliciosas. Esta acción podría permitir la ejecución de comandos arbitrarios y el acceso no autorizado a credenciales, certificados y otros datos sensibles almacenados de Kubernetes.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias