Source |
CVE Liste |
Identifiant |
8339111 |
Date de publication |
2023-05-24 17:15:09 (vue: 2023-05-24 20:06:50) |
Titre |
CVE-2021-25748 |
Texte |
Un problème de sécurité a été découvert dans Ingress-Nginx où un utilisateur qui peut créer ou mettre à jour des objets entrandants peut utiliser un caractère Newline pour contourner la désinfection du champ `Spec.rules []. Http.Paths []. Path` champ d'un objet entrée(Dans le groupe API `Networking.k8s.io` ou` Extensions`) pour obtenir les informations d'identification du contrôleur Ingress-Nginx.Dans la configuration par défaut, cet identifiant a accès à tous les secrets du cluster.
A security issue was discovered in ingress-nginx where a user that can create or update ingress objects can use a newline character to bypass the sanitization of the `spec.rules[].http.paths[].path` field of an Ingress object (in the `networking.k8s.io` or `extensions` API group) to obtain the credentials of the ingress-nginx controller. In the default configuration, that credential has access to all secrets in the cluster. |
Envoyé |
Oui |
Condensat |
2021 25748 `extensions` `networking `spec access all api bypass can character cluster configuration controller create credential credentials cve default discovered field group has http ingress io` issue k8s newline nginx object objects obtain path` paths rules sanitization secrets security update use user where |
Tags |
|
Stories |
|
Notes |
|
Move |
|