Se ha descubierto una vulnerabilidad de severidad alta en Ingress-NGINX de Kubernetes. Un actor malicioso podría lograr la ejecución de código arbitrario y acceder a información confidencial de los sistemas afectados, incluyendo secretos accesibles a nivel de clúster.
Productos afectados
- Ingress-NGINX versiones anteriores a 1.13.8.
- Ingress-NGINX versiones anteriores a 1.14.4.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-3288: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada incorrecta en la anotación Ingress denominada nginx.ingress.kubernetes.io/rewrite-target. Un actor malicioso autenticado con permisos para crear o modificar recursos Ingress podría utilizar esta anotación para inyectar configuraciones maliciosas en NGINX. Esto puede derivar en la ejecución de código arbitrario en el contexto del controlador ingress-nginx y en la divulgación de secretos del clúster a los que el controlador tenga acceso.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias