Tiga kelemahan keamanan baru telah terungkap di pengontrol NGINX Ingress untuk Kubernetes yang dapat digunakan oleh pelaku ancaman untuk mencuri kredensial rahasiadari cluster. Kerentanan tersebut diantaranya : CVE-2022-4886 (skor CVSS: 8.8) - (Sanitasi jalur Ingress-nginxdapat dilewati untuk mendapatkan kredensial pengontrol ingress-nginx), CVE-2023-5043(skorCVSS: 7.6) - (Injeksi anotasi Ingress-nginx menyebabkan eksekusi perintah yang sewenang-wenang), dan CVE-2023-5044 (skor CVSS: 7.6) - (Injeksi kode melalui anotasinginx.ingress.kubernetes.io/permanent-redirect). Kerentanan ini memungkinkan penyerang yang dapat mengontrol konfigurasi objek Ingress untuk mencuri kredensial rahasiadari cluster. Eksploitasi kelemahan yang berhasil memungkinkan penyerang dapat memasukkan kode arbitrerke dalam proses pengontrol ingress, dan mendapatkan akses tidak sah ke data sensitif.
Sumber : https://thehackernews.com/2023/10/urgent-new-security-flaws-discovered-in.html
Sumber : https://thehackernews.com/2023/10/urgent-new-security-flaws-discovered-in.html