Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redos логотип

ROS-20250417-05

Опубликовано: 17 апр. 2025
Источник: redos

Описание

Множественные уязвимости golang-k8s-ingress-nginx

Наименование уязвимого пакета

golang-k8s-ingress-nginx

Пакет обновления

golang-k8s-ingress-nginx-0:1.12.1-1.el7.x86_64

Версия уязвимого пакета младше

1.12.1-1

Возможные меры по устранению уязвимости

Запретить использование в ОС пакета golang-k8s-ingress-nginx или Установить обновление для пакета(ов) golang-k8s-ingress-nginx

Версия ОС

7.3

Архитектура ОС

x86_64

Дата публикации бюллетеня

17.04.2025

CVE-2025-1097

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость контроллера входящего трафика в кластере Kubernetes ingress-nginx связана с использованием аннотации Ingress `auth-tls-match-cn` для внедрения конфигурации в nginx. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

8.8 High

CVSS3

9 Critical

CVSS2

CVE-2025-1974

Идентификатор БДУ ФСТЭК России:

BDU:2025-03219

Описание уязвимости:

Уязвимость контроллера входящего трафика в кластере Kubernetes ingress-nginx связана с недостаточным пространственным разделением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код в контексте контроллера

9.8 Critical

CVSS3

10 Critical

CVSS2

CVE-2025-1098

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость контроллера входящего трафика в кластере Kubernetes ingress-nginx связана с использованием аннотации Ingress `mirror-target` и `mirror-host` для внедрения конфигурации в nginx. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

8.8 High

CVSS3

9 Critical

CVSS2

CVE-2025-24513

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость контроллера входящего трафика в кластере Kubernetes ingress-nginx связана с обходом каталога внутри контейнера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

4.8 Medium

CVSS3

4 Medium

CVSS2

CVE-2025-24514

Идентификатор БДУ ФСТЭК России:

BDU:2025-03220

Описание уязвимости:

Уязвимость контроллера входящего трафика в кластере Kubernetes ingress-nginx связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

8.8 High

CVSS3

9 Critical

CVSS2