Kritische CVE-2026-24470-Lücke in Zalando's Ingress-Controller Skipper

Zusammenfassung

Eine kritische Sicherheitslücke (CVE-2026-24470) in Zalando's Ingress-Controller Skipper ermöglichte es Nutzern mit entsprechenden Berechtigungen, Zugriff auf interne Dienste zu erlangen. Das Problem betraf Versionen vor 0.24.0, welche nun durch Deaktivierung des Kubernetes ExternalName-Features behoben wurden. Admins sollten Erlaubnislisten für ExternalName-Targets und reguläre Ausdrücke für zusätzliche Sicherheit einsetzen.

Zalando - Skipper - HIGH - CVE-2026-24470. Skipper, an HTTP router and reverse proxy, previously allowed users with permissions to create Ingress and ExternalName services to construct routes that could grant access to internal services. This flaw primarily affects versions prior to 0.24.0. In version 0.24.0, Zalando has mitigated this issue by disabling Kubernetes ExternalName by default. As a responsive measure, developers are recommended to implement allow lists for ExternalName targets and utilize regular expressions for additional security.