BDU:2021-06050

Опубликовано: 19 фев. 2020

Источник: fstec

CVSS3: 5.9

CVSS2: 4.9

EPSS Низкий

Описание

Уязвимость компонента nginx.ingress.kubernetes.io/auth-type контроллера входящего трафика в кластере Kubernetes ingress-nginx связана с ошибками при обработке гипертекстовых ссылок. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на создание, изменение или удаление данных

Вендор

The Kubernetes Authors

Наименование ПО

ingress-nginx

Версия ПО

до 0.28.0 (ingress-nginx)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/kubernetes/ingress-nginx/issues/5126

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-8553
CVE

EPSS

Процентиль: 66%

0.00523

Низкий

5.9 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

CVE-2020-8553

CVSS3: 5.9

nvd

больше 5 лет назад

The Kubernetes ingress-nginx component prior to version 0.28.0 allows a user with the ability to create namespaces and to read and create ingress objects to overwrite the password file of another ingress which uses nginx.ingress.kubernetes.io/auth-type: basic and which has a hyphenated namespace or secret name.

GHSA-hhpm-74pm-hf35

CVSS3: 5.9

github

больше 3 лет назад

ingress-nginx component for Kubernetes allows file overwrite

EPSS

Процентиль: 66%

0.00523

Низкий

5.9 Medium

CVSS3

4.9 Medium

CVSS2