Une faille critique a été découverte sur Kubernetes. Elle permet l’accès aux secrets du contrôleur.
Sous certaine condition, elle permet à un hacker non authentifié de s’introduire dans le back office et d’y exécuter du code lorsqu’un contrôleur ingress-nginx est utilisé.
Il est alors possible d’accéder aux secrets du contrôleur. La CVE précise qu’en configuration par défaut, le contrôleur peut accéder à tous les secrets du cluster…
Cette CVE est notée 9,8 ! Mettez à jour sans tarder.
