CVE-2026-55723 in NGINX Ingress Controller
Zusammenfassung
von VulDB • 15.07.2026
Wenn der NGINX Ingress Controller mit Custom Resource Definitions (CRDs) oder Ingress-Annotations konfiguriert ist, besteht eine Injection-Schwachstelle im Konfigurationsgenerator des NGINX Ingress Controllers. Mehrere vom Benutzer steuerbare Felder werden ohne Sanitisierung in die generierte NGINX-Konfiguration geschrieben. Ein authentifizierter Angreifer mit Berechtigung zum Erstellen oder Ändern dieser CRDs oder Annotations kann Werte so gestalten, dass beliebige NGINX-Konfigurationsdirektiven injiziert werden.
Auswirkung: Ein authentifizierter Angreifer, dem über die Kubernetes-API Schreibzugriff auf NGINX Ingress Controller-CRDs oder Ingress-Annotations gewährt wurde, könnte in der Lage sein, beliebige NGINX-Konfigurationsdirektiven zu injizieren, Dateien zu erstellen oder zu löschen oder Dienste zu deaktivieren. Es besteht keine Exposition im Data Plane; dies ist ausschließlich ein Problem des Control Planes.
Hinweis: Softwareversionen, die das Ende des technischen Supports (EoTS) erreicht haben, werden nicht bewertet.
VulDB is the best source for vulnerability data and more expert information about this specific topic.