Kelemahan Keamanan Baru Ditemukan di NGINX Ingress Controller untuk Kubernetes

Kelemahan Keamanan Baru Ditemukan di NGINX Ingress Controller untuk Kubernetes

Posted by : Admin , Nov 15, 2023
Tiga kelemahan keamanan baru telah terungkap di pengontrol NGINX Ingress untuk Kubernetes yang dapat digunakan oleh pelaku ancaman untuk mencuri kredensial rahasia dari cluster. Kerentanan tersebut diantaranya : CVE-2022-4886 (skor CVSS: 8.8) - (Sanitasi jalur Ingress-nginx dapat dilewati untuk mendapatkan kredensial pengontrol ingress-nginx), CVE-2023-5043 (skor CVSS: 7.6) - (Injeksi anotasi Ingress-nginx menyebabkan eksekusi perintah yang sewenang- wenang), dan CVE-2023-5044 (skor CVSS: 7.6) - (Injeksi kode melalui anotasi nginx.ingress.kubernetes.io/permanent-redirect). Kerentanan ini memungkinkan penyerang yang dapat mengontrol konfigurasi objek Ingress untuk mencuri kredensial rahasia dari cluster. Eksploitasi kelemahan yang berhasil memungkinkan penyerang dapat memasukkan kode arbitrer ke dalam proses pengontrol ingress, dan mendapatkan akses tidak sah ke data sensitif.

Sumber : https://thehackernews.com/2023/10/urgent-new-security-flaws-discovered-in.html