Se ha descubierto una vulnerabilidad de severidad alta en el producto Kubernetes Ingress-NGINX. Un actor malicioso podría lograr la ejecución de código arbitrario y acceder a información confidencial, incluyendo secretos accesibles a nivel de clúster.
Productos afectados
- Kubernetes ingress-nginx 1.13.x, versiones anteriores a 1.13.9.
- Kubernetes ingress-nginx 1.14.x, versiones anteriores a 1.14.5.
- Kubernetes ingress-nginx 1.15.x, versiones anteriores a 1.15.1.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-4342: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada incorrecta. Un actor malicioso con permisos para crear o modificar recursos Ingress podría utilizar una combinación específica de anotaciones para inyectar configuraciones maliciosas en NGINX. Esto permitiría la ejecución de código arbitrario en el contexto del controlador ingress-nginx y la divulgación de secretos del clúster a los que el controlador tenga acceso.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias