Kubernetes ingress-nginx bis 1.13.6/1.14.1 Ingress Annotation erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.0 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine als problematisch klassifizierte Schwachstelle in Kubernetes ingress-nginx bis 1.13.6/1.14.1 entdeckt. Betroffen hiervon ist ein unbekannter Ablauf der Komponente Ingress Annotation Handler. Die Manipulation führt zu erweiterte Rechte. Diese Sicherheitslücke ist unter CVE-2026-24513 bekannt. Der Angriff kann remote ausgeführt werden. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Eine problematische Schwachstelle wurde in Kubernetes ingress-nginx bis 1.13.6/1.14.1 ausgemacht. Es geht hierbei um ein unbekannter Codeblock der Komponente Ingress Annotation Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-754. Dies wirkt sich aus auf die Vertraulichkeit. CVE fasst zusammen:
A security issue was discovered in ingress-nginx where the protection afforded by the `auth-url` Ingress annotation may not be effective in the presence of a specific misconfiguration.
If the ingress-nginx controller is configured with a default custom-errors configuration that includes HTTP errors 401 or 403, and if the configured default custom-errors backend is defective and fails to respect the X-Code HTTP header, then an Ingress with the `auth-url` annotation may be accessed even when authentication fails.
Note that the built-in custom-errors backend works correctly. To trigger this issue requires an administrator to specifically configure ingress-nginx with a broken external component.Auf github.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 23.01.2026 als CVE-2026-24513 statt. Sie ist schwierig ausnutzbar. Der Angriff kann über das Netzwerk passieren. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 297852 (Ingress-NGINX Controller < 1.13.7 / 1.14.x < 1.14.3 Multiple Vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version 1.13.7 oder 1.14.2 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (297852), EUVD (EUVD-2026-6096) und CERT Bund (WID-SEC-2026-0289) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Betroffen
- Open Source Kubernetes
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.1VulDB Meta Temp Score: 3.0
VulDB Base Score: 3.1
VulDB Temp Score: 3.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 3.1
CNA Vector (kubernetes): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-754
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 297852
Nessus Name: Ingress-NGINX Controller < 1.13.7 / 1.14.x < 1.14.3 Multiple Vulnerabilities
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: ingress-nginx 1.13.7/1.14.2
Timeline
23.01.2026 CVE zugewiesen04.02.2026 Advisory veröffentlicht
04.02.2026 VulDB Eintrag erstellt
18.02.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: 136679Status: Bestätigt
CVE: CVE-2026-24513 (🔒)
GCVE (CVE): GCVE-0-2026-24513
GCVE (VulDB): GCVE-100-344186
EUVD: 🔒
CERT Bund: WID-SEC-2026-0289 - Kubernetes (ingress-nginx): Mehrere Schwachstellen
Eintrag
Erstellt: 04.02.2026 07:44Aktualisierung: 18.02.2026 00:31
Anpassungen: 04.02.2026 07:44 (65), 05.02.2026 10:55 (7), 08.02.2026 12:49 (2), 18.02.2026 00:31 (1)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.