Tech Blog

2026-03-10 opencve vulnerability

Mehrere Schwachstellen (CVE-2026-28693, CVE-2026-3288) in Nginx

⚠️ CVE-Referenzen: CVE-2026-28693 CVE-2026-3288

Zusammenfassung

In Ingress-Nginx wurde eine Sicherheitslücke entdeckt, bei der die `nginx.ingress.kubernetes.io/rewrite-target`-Annotation missbraucht werden kann, um willkürlichen Code im Kontext des Ingress-Nginx-Controllers auszuführen. Dadurch können auch Geheimnisse (Secrets) preisgegeben werden, auf die der Controller Zugriff hat. Ein Patch ist erforderlich, um diese kritische Schwachstelle mit der CVE-ID CVE-2026-3288 zu beheben.

A security issue was discovered in ingress-nginx where the `nginx.ingress.kubernetes.io/rewrite-target` Ingress annotation can be used to inject configuration into nginx. This can lead to arbitrary code execution in the context of the ingress-nginx controller, and disclosure of Secrets accessible to the controller. (Note that in the default installation, the controller can access all Secrets cluster-wide.)
Quelle: app.opencve.io
Auch berichtet von:
Originalartikel lesen →
← Zurück zur Übersicht