Kritische CVE-2026-23742-Lücke in Zalando's Skipper HTTP-Router
⚠️ CVE-Referenzen:
CVE-2026-23742
Zusammenfassung
Zalando's Skipper HTTP-Router, der für Service-Komposition eingesetzt wird, weist vor Version 0.23.0 eine Sicherheitslücke in der Standardkonfiguration auf. Der -lua-sources-Parameter ermöglicht es böswilligen Nutzern, Lua-Filter zu erstellen und einzuschleusen. Angreifer könnten diese Funktion über eine Kubernetes-Ingress-Ressource ausnutzen und so unbefugten Zugriff auf das zugrunde liegende Dateisystem erlangen. Auch der Zugriff auf sensible Geheimnisse in Skipper-Logs wäre möglich. Das Problem wurde in Version 0.23.0 behoben, ein Update wird daher dringend empfohlen.
Zalando - Skipper - HIGH - CVE-2026-23742.
The Skipper HTTP router, used for service composition, has a vulnerability associated with its default configuration before version 0.23.0. Specifically, the -lua-sources parameter allows untrusted users to create and inject Lua filters. This poses a risk as attackers could exploit this feature through a Kubernetes Ingress resource, resulting in unauthorized access to the underlying filesystem. If they manage to read the logs, they could also access sensitive secrets stored within Skipper. The issue is rectified in Skipper version 0.23.0, which is recommended for enhanced security.
Quelle: securityvulnerability.io