[TLP:CLEAR] Kubernetes ingress-nginx opravuje 4 zraniteľnosti
Kubernetes verziami 1.13.7 a 1.14.3 opravuje 4 zraniteľnosti v produkte ingress-nginx. Prítomnosť ingress-nginx v clustri je možné overiť príkazom "kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx" [1].
Neautentizovanému vzdialenému útočníkovi je v dôsledku chybnej konfigurácie spracovania chybových odpovedí umožnené obísť autentizačnú ochranu a získať prístup k chráneným URL. Zneužitie je možné iba pri nasadení chybne implementovanej externej súčasti na spracovanie chýb, zatiaľ čo vstavaný mechanizmus funguje korektne [2].
Zraniteľnosť sa nachádza v produkte ingress-nginx vo verziách (< 1.13.7) OR (>=1.14.0 AND < v1.14.3).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
Viac informácií:
- CVE-2026-24513 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-754: Improper Check for Unusual or Exceptional Conditions at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 3. 2. 2026.
Autentizovanému vzdialenému útočníkovi je v prostredí Kubernetes ingress-nginx umožnené zasielaním nadmerne veľkých požiadaviek na kontrolný mechanizmus prijímania zdrojov vyčerpať systémové prostriedky, čo môže viesť k DoS útoku [3].
Zraniteľnosť sa nachádza v produkte ingress-nginx vo verziách (< 1.13.7) OR (>=1.14.0 AND < v1.14.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2026-24514 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 3. 2. 2026.
Autentizovanému vzdialenému útočníkovi je v prostredí ingress-nginx v dôsledku nedostatočnej validácie hodnôt umožnené spustenie kódu v kontexte radiaceho komponentu ingress-nginx, čo môže viesť aj k sprístupneniu Kubernetes Secrets dostupných tomuto controlleru [4][5].
Zraniteľnosť sa nachádza v produkte ingress-nginx vo verziách (<1.13.7) OR (>=1.14.0 AND <1.14.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2026-1580 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-24512 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 3. 2. 2026.
Odkazy
- [1] https://kubernetes.io/docs/reference/issues-security/official-cve-feed/
- [2] https://github.com/kubernetes/kubernetes/issues/136679
- [3] https://github.com/kubernetes/kubernetes/issues/136680
- [4] https://github.com/kubernetes/kubernetes/issues/136677
- [5] https://github.com/kubernetes/kubernetes/issues/136678
Za CESNET-CERTS Henrieta Paločková dňa 17. 2. 2026.
