GHSA-fp9f-44c2-cw27

Опубликовано: 25 окт. 2023

Источник: github

Github: Прошло ревью

CVSS4: 7.2

CVSS3: 7.6

Описание

Ingress-nginx code injection via nginx.ingress.kubernetes.io/permanent-redirect annotation

A security issue was identified in ingress-nginx where the nginx.ingress.kubernetes.io/permanent-redirect annotation on an Ingress object (in the networking.k8s.io or extensions API group) can be used to inject arbitrary commands, and obtain the credentials of the ingress-nginx controller. In the default configuration, that credential has access to all secrets in the cluster.

Ссылки

Пакеты

Наименование

k8s.io/ingress-nginx

Затронутые версииВерсия исправления

< 1.9.0

1.9.0

EPSS

Процентиль: 92%

0.08745

Низкий

7.2 High

CVSS4

7.6 High

CVSS3

CVE ID

CVE-2023-5044

Дефекты

CWE-20

CWE-94

Связанные уязвимости

CVE-2023-5044

CVSS3: 7.6

nvd

больше 2 лет назад

Code injection via nginx.ingress.kubernetes.io/permanent-redirect annotation.

BDU:2023-07421

CVSS3: 7.6

fstec

больше 2 лет назад

Уязвимость компонента nginx.ingress.kubernetes.io/permanent-redirect контроллера входящего трафика в кластере Kubernetes ingress-nginx, позволяющая нарушителю выполнить произвольные команды

EPSS

Процентиль: 92%

0.08745

Низкий

7.2 High

CVSS4

7.6 High

CVSS3

CVE ID

CVE-2023-5044

Дефекты

CWE-20

CWE-94