CVE-2026-55723 in NGINX Ingress Controller
Riassunto
di VulDB • 15/07/2026
Quando il controller di ingresso NGINX è configurato con Definizioni delle Risorse Personalizzate (CRD, Custom Resource Definitions) o annotazioni Ingress, esiste una vulnerabilità da iniezione nel generatore di configurazione del controller di ingresso NGINX. Diversi campi controllabili dall'utente vengono scritti nella configurazione NGINX generata senza alcuna sanificazione. Un attaccante autenticato con autorizzazione per creare o modificare tali CRD o annotazioni può elaborare valori che iniettano direttive di configurazione arbitrarie di NGINX.
Impatto: Un attaccante autenticato a cui è stato concessa l'accesso in scrittura alle CRD del controller di ingresso NGINX o alle annotazioni Ingress tramite l'API Kubernetes potrebbe essere in grado di iniettare direttive di configurazione arbitrarie di NGINX, creare o eliminare file oppure disabilitare servizi. Non vi è alcuna esposizione sul piano dei dati (data plane); si tratta esclusivamente di un problema relativo al piano di controllo (control plane).
Nota: Le versioni del software che hanno raggiunto la fine dell'assistenza tecnica (EoTS) non vengono valutate.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.