CVE-2026-23742: Kritische Sicherheitslücke in Skipper HTTP-Router

Zusammenfassung

Die Standardkonfiguration des Skipper HTTP-Routers und Reverse-Proxys vor Version 0.23.0 erlaubte es böswilligen Nutzern, über Kubernetes Ingress-Ressourcen bösartigen Lua-Code einzuschleusen. Dieser Code konnte dann auf das Dateisystem zugreifen und sogar Geheimnisse auslesen, sofern der Nutzer entsprechende Berechtigungen hatte. Die Lücke mit der CVE-ID CVE-2026-23742 wurde in Version 0.23.0 behoben.

Skipper is an HTTP router and reverse proxy for service composition. The default skipper configuration before 0.23.0 was -lua-sources=inline,file. The problem starts if untrusted users can create lua filters, because of -lua-sources=inline , for example through a Kubernetes Ingress resource. The configuration inline allows these user to create a script that is able to read the filesystem accessible to the skipper process and if the user has access to read the logs, they an read skipper secrets. This vulnerability is fixed in 0.23.0.