स्किपर इनग्रेस कंट्रोलर github.com/zalando/skipper में ExternalName के माध्यम से आंतरिक सेवाओं तक अनधिकृत पहुंच की अनुमति देता है

यह भेद्यता हमलावरों को Skipper Ingress Controller के ExternalName सुविधा का दुरुपयोग करके आंतरिक सेवाओं तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है। ExternalName का उपयोग DNS नामों को बाहरी सेवाओं से जोड़ने के लिए किया जाता है, लेकिन इस भेद्यता के कारण, हमलावर आंतरिक सेवाओं को बाहरी सेवाओं के रूप में उजागर कर सकते हैं। इससे डेटा चोरी, सिस्टम समझौता, या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। इस भेद्यता का प्रभाव काफी व्यापक हो सकता है, क्योंकि यह आंतरिक नेटवर्क के कई संसाधनों को खतरे में डाल सकता है।

Organizations deploying Skipper Ingress Controller in Kubernetes environments, particularly those relying on ExternalName configurations for service discovery, are at risk. Environments with less stringent Kubernetes access controls or those using shared Kubernetes clusters are especially vulnerable.

• linux / server:

journalctl -u skipper-ingress-controller -g 'ExternalName' | grep -i error

• generic web:

curl -I <skipper-ingress-controller-url>/ -H 'Host: malicious.example.com'

Check for unexpected responses or redirects. • go: Inspect Skipper Ingress Controller source code for improper ExternalName validation logic.

1. 2026-02-02Disclosure

   disclosure

1. आरक्षित2026-01-23
2. प्रकाशित2026-02-02
3. संशोधित2026-03-03
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, Skipper Ingress Controller को 0.24.0 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो ExternalName सुविधा को अक्षम करने या सख्त एक्सेस नियंत्रण लागू करने पर विचार करें। WAF (वेब एप्लिकेशन फ़ायरवॉल) का उपयोग करके अनधिकृत अनुरोधों को ब्लॉक किया जा सकता है। यह सुनिश्चित करें कि सभी आंतरिक सेवाओं को केवल अधिकृत उपयोगकर्ताओं द्वारा ही एक्सेस किया जा सके। अपग्रेड के बाद, यह सत्यापित करें कि ExternalName सुविधा ठीक से काम कर रही है और कोई अनधिकृत पहुँच नहीं है।