Plateforme
go
Composant
github.com/zalando/skipper
Corrigé dans
0.24.1
0.24.0
La vulnérabilité CVE-2026-24470 affecte Skipper Ingress Controller, un contrôleur d'entrée Kubernetes. Elle permet un accès non autorisé aux services internes via l'utilisation incorrecte de la fonctionnalité ExternalName. Cette faille, classée avec une sévérité élevée (CVSS 8.1), impacte les versions antérieures à 0.24.0. La mise à jour vers la version 0.24.0 corrige ce problème.
Cette vulnérabilité permet à un attaquant externe de contourner les mécanismes de sécurité et d'accéder à des services internes qui ne devraient pas être accessibles depuis l'extérieur du cluster Kubernetes. L'attaquant peut exploiter cette faille en manipulant la configuration ExternalName pour rediriger le trafic vers des services internes sensibles. Les données à risque incluent les informations confidentielles stockées ou traitées par ces services internes, ainsi que la possibilité de compromettre l'intégrité du cluster Kubernetes. Un accès non autorisé à des services critiques pourrait entraîner une interruption de service ou une exfiltration de données.
Cette vulnérabilité a été rendue publique le 2 février 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une configuration spécifique de ExternalName. Il n'est pas encore listé sur le KEV de CISA.
Organizations deploying Skipper Ingress Controller in Kubernetes environments, particularly those relying on ExternalName configurations for service discovery, are at risk. Environments with less stringent Kubernetes access controls or those using shared Kubernetes clusters are especially vulnerable.
• linux / server:
journalctl -u skipper-ingress-controller -g 'ExternalName' | grep -i error• generic web:
curl -I <skipper-ingress-controller-url>/ -H 'Host: malicious.example.com'Check for unexpected responses or redirects. • go: Inspect Skipper Ingress Controller source code for improper ExternalName validation logic.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Skipper Ingress Controller vers la version 0.24.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de restreindre l'accès aux services internes en configurant des règles de pare-feu ou des politiques de réseau Kubernetes plus strictes. Vérifiez attentivement la configuration ExternalName pour vous assurer qu'elle ne permet pas d'accès non autorisé. Après la mise à jour, vérifiez la configuration du contrôleur d'entrée et assurez-vous que les règles de pare-feu sont correctement appliquées.
Mettez à jour Skipper à la version 0.24.0 ou supérieure. Alternativement, configurez une liste blanche pour les destinations ExternalName et activez la liste blanche à l'aide d'expressions régulières pour atténuer le risque d'accès non autorisé aux services internes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24470 est une vulnérabilité d'accès non autorisé dans Skipper Ingress Controller, permettant à des attaquants d'accéder à des services internes via une configuration incorrecte de ExternalName. Elle est classée comme une vulnérabilité de haute sévérité.
Vous êtes affecté si vous utilisez une version de Skipper Ingress Controller antérieure à 0.24.0 et que vous utilisez la fonctionnalité ExternalName. Vérifiez votre version actuelle et mettez à jour si nécessaire.
La solution consiste à mettre à jour Skipper Ingress Controller vers la version 0.24.0 ou supérieure. En attendant, restreignez l'accès aux services internes via des règles de pare-feu.
À l'heure actuelle, il n'y a aucune indication d'une exploitation active de CVE-2026-24470, mais la probabilité d'exploitation reste moyenne.
Consultez le site web officiel de Zalando ou le dépôt GitHub de Skipper Ingress Controller pour obtenir les dernières informations et les avis de sécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.