Platform
go
Component
github.com/zalando/skipper
Opgelost in
0.24.1
0.24.0
CVE-2026-24470 beschrijft een kwetsbaarheid in de Skipper Ingress Controller, waardoor ongeautoriseerde toegang tot interne services mogelijk is. Deze kwetsbaarheid ontstaat door een onjuiste configuratie van de ExternalName-functie. De kwetsbaarheid treft versies van Skipper Ingress Controller die ouder zijn dan 0.24.0. Een update naar versie 0.24.0 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde toegang te verkrijgen tot interne services die achter de Skipper Ingress Controller draaien. Dit kan leiden tot data-inbreuken, manipulatie van data, of zelfs volledige controle over de getroffen systemen. De impact is aanzienlijk, aangezien de aanvaller potentieel toegang kan krijgen tot gevoelige informatie en kritieke functionaliteit. Het misbruik van deze kwetsbaarheid kan vergelijkbare gevolgen hebben als het omzeilen van authenticatie- en autorisatiecontroles, waardoor de aanvaller vrijelijk toegang kan krijgen tot de interne infrastructuur.
Deze kwetsbaarheid is openbaar bekend sinds 2026-02-02. Er zijn momenteel geen publiekelijk beschikbare proof-of-concept exploits bekend, maar de ernst van de kwetsbaarheid en de potentiële impact suggereren dat exploitatie mogelijk is. De KEV-status is momenteel onbekend. Het is raadzaam om de kwetsbaarheid serieus te nemen en onmiddellijk maatregelen te treffen om deze te mitigeren.
Organizations deploying Skipper Ingress Controller in Kubernetes environments, particularly those relying on ExternalName configurations for service discovery, are at risk. Environments with less stringent Kubernetes access controls or those using shared Kubernetes clusters are especially vulnerable.
• linux / server:
journalctl -u skipper-ingress-controller -g 'ExternalName' | grep -i error• generic web:
curl -I <skipper-ingress-controller-url>/ -H 'Host: malicious.example.com'Check for unexpected responses or redirects. • go: Inspect Skipper Ingress Controller source code for improper ExternalName validation logic.
disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-24470 is het upgraden van de Skipper Ingress Controller naar versie 0.24.0 of hoger. Indien een directe upgrade niet mogelijk is, kan het beperken van de toegang tot de ExternalName-functie via netwerkregels een tijdelijke workaround bieden. Controleer de configuratie van de Skipper Ingress Controller om er zeker van te zijn dat de ExternalName-functie niet onnodig wordt gebruikt. Na de upgrade, verifieer de configuratie en controleer de logs op verdachte activiteit.
Werk Skipper bij naar versie 0.24.0 of hoger. Als alternatief, configureer een whitelist voor ExternalName-bestemmingen en activeer de whitelist met behulp van reguliere expressies om het risico op ongeautoriseerde toegang tot interne services te beperken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-24470 beschrijft een kwetsbaarheid in de Skipper Ingress Controller waardoor ongeautoriseerde toegang tot interne services mogelijk is via de ExternalName-functie.
Ja, als u een versie van Skipper Ingress Controller gebruikt die ouder is dan 0.24.0, bent u kwetsbaar voor deze kwetsbaarheid.
Upgrade de Skipper Ingress Controller naar versie 0.24.0 of hoger. Indien een upgrade niet direct mogelijk is, beperk dan de toegang tot de ExternalName-functie.
Er zijn momenteel geen publiekelijk bekende exploitaties, maar de ernst van de kwetsbaarheid suggereert dat exploitatie mogelijk is.
Raadpleeg de GitHub repository van Zalando Skipper voor de meest recente informatie en updates: https://github.com/zalando/skipper
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.