Kubernetes ingress-nginx bis 1.13.6/1.14.1 rules.http.paths.path erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.6 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Kubernetes ingress-nginx bis 1.13.6/1.14.1 gefunden. Sie wurde als sehr kritisch eingestuft. Hierbei betrifft es unbekannten Programmcode. Mittels Manipulieren des Arguments rules.http.paths.path mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle findet als CVE-2026-24512 statt. Der Angriff lässt sich über das Netzwerk starten. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine sehr kritische Schwachstelle in Kubernetes ingress-nginx bis 1.13.6/1.14.1 gefunden. Hiervon betroffen ist eine unbekannte Funktionalität. Mit der Manipulation des Arguments rules.http.paths.path mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-20 vorgenommen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
A security issue was discovered in ingress-nginx where the `rules.http.paths.path` Ingress field can be used to inject configuration into nginx. This can lead to arbitrary code execution in the context of the ingress-nginx controller, and disclosure of Secrets accessible to the controller. (Note that in the default installation, the controller can access all Secrets cluster-wide.)Bereitgestellt wird das Advisory unter github.com. Die Identifikation der Schwachstelle wird seit dem 23.01.2026 mit CVE-2026-24512 vorgenommen. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 09.03.2026).
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 297852 (Ingress-NGINX Controller < 1.13.7 / 1.14.x < 1.14.3 Multiple Vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Aktualisieren auf die Version 1.13.7 oder 1.14.2 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (297852), EUVD (EUVD-2026-6096) und CERT Bund (WID-SEC-2026-0289) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Betroffen
- Open Source Kubernetes
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.8VulDB Meta Temp Score: 8.6
VulDB Base Score: 8.8
VulDB Temp Score: 8.4
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 8.8
CNA Vector (kubernetes): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 297852
Nessus Name: Ingress-NGINX Controller < 1.13.7 / 1.14.x < 1.14.3 Multiple Vulnerabilities
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: ingress-nginx 1.13.7/1.14.2
Timeline
23.01.2026 CVE zugewiesen04.02.2026 Advisory veröffentlicht
04.02.2026 VulDB Eintrag erstellt
09.03.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: 136678Status: Bestätigt
CVE: CVE-2026-24512 (🔒)
GCVE (CVE): GCVE-0-2026-24512
GCVE (VulDB): GCVE-100-344181
EUVD: 🔒
CERT Bund: WID-SEC-2026-0289 - Kubernetes (ingress-nginx): Mehrere Schwachstellen
Eintrag
Erstellt: 04.02.2026 07:40Aktualisierung: 09.03.2026 22:44
Anpassungen: 04.02.2026 07:40 (65), 05.02.2026 10:55 (7), 08.02.2026 12:49 (2), 18.02.2026 00:31 (1), 09.03.2026 22:44 (2)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.