One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8339111 |
| Date de publication | 2023-05-24 17:15:09 (vue: 2023-05-24 20:06:50) |
| Titre | CVE-2021-25748 |
| Texte | Un problème de sécurité a été découvert dans Ingress-Nginx où un utilisateur qui peut créer ou mettre à jour des objets entrandants peut utiliser un caractère Newline pour contourner la désinfection du champ `Spec.rules []. Http.Paths []. Path` champ d'un objet entrée(Dans le groupe API `Networking.k8s.io` ou` Extensions`) pour obtenir les informations d'identification du contrôleur Ingress-Nginx.Dans la configuration par défaut, cet identifiant a accès à tous les secrets du cluster.
A security issue was discovered in ingress-nginx where a user that can create or update ingress objects can use a newline character to bypass the sanitization of the `spec.rules[].http.paths[].path` field of an Ingress object (in the `networking.k8s.io` or `extensions` API group) to obtain the credentials of the ingress-nginx controller. In the default configuration, that credential has access to all secrets in the cluster. |
| Envoyé | Oui |
| Condensat | 2021 25748 `extensions` `networking `spec access all api bypass can character cluster configuration controller create credential credentials cve default discovered field group has http ingress io` issue k8s newline nginx object objects obtain path` paths rules sanitization secrets security update use user where |
| Tags | |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.