Tech Blog

2026-02-06 opencve vulnerability

Mehrere Schwachstellen (CVE-2023-25837, CVE-2024-25699, CVE-2024-51954, CVE-2025-15566) in Nginx

⚠️ CVE-Referenzen: CVE-2023-25837 CVE-2024-25699 CVE-2024-51954 CVE-2025-15566

Zusammenfassung

In der Kubernetes-Ingress-Lösung ingress-nginx wurde eine schwerwiegende Sicherheitslücke entdeckt. Über die `nginx.ingress.kubernetes.io/auth-proxy-set-headers`-Annotation können Angreifer beliebige Konfigurationen in nginx injizieren und so Schadcode ausführen. Betroffen sind auch Geheimnisse, auf die der Ingress-Controller Zugriff hat. Ein Patch ist dringend erforderlich, um die Systeme vor Kompromittierung zu schützen.

A security issue was discovered in ingress-nginx where the `nginx.ingress.kubernetes.io/auth-proxy-set-headers` Ingress annotation can be used to inject configuration into nginx. This can lead to arbitrary code execution in the context of the ingress-nginx controller, and disclosure of Secrets accessible to the controller. (Note that in the default installation, the controller can access all Secrets cluster-wide.)
Quelle: app.opencve.io
Auch berichtet von:
Originalartikel lesen →
← Zurück zur Übersicht