9VSA23-00926-01 CSIRT informa de vulnerabilidades en NGINX Ingress para Kubernetes
El CSIRT de Gobierno comparte información de tres nuevas vulnerabilidades de alto riesgo que afectan al controlador NGINX Ingress para Kubernetes.
Resumen
El CSIRT de Gobierno comparte información de tres nuevas vulnerabilidades de alto riesgo que afectan al controlador NGINX Ingress para Kubernetes.
Vulnerabilidades
CVE-2022-4886
CVE-2023-5043
CVE-2023-5044
Impacto
Vulnerabilidades de riesgo alto
CVE-2022-4886: Vulnerabilidad que evade la sanitización de rutas de Ingress-nginx para obtener credenciales del controlador de Ingress-nginx. CVSS: 8.8.
CVE-2023-5043: Vulnerabilidad que permite inyección de anotaciones en Ingress-nginx y ejecución arbitraria de comandos. CVSS: 7.6.
CVE-2023-5044: Inyección de código via anotación en nginx.ingress.kubernetes.io/permanent-redirect. CVSS: 7.6.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor cuando estén disponibles.
Productos afectados
NGINX Ingress Controller.
Enlaces
https://github.com/kubernetes/ingress-nginx
https://docs.nginx.com/nginx-ingress-controller/intro/overview/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4886
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5043
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5044
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00926-01.