nvd,anchore_overrides
Kubernetes
Уязвимости
120
Эксплуатируемые
1
Критический
6
Высокий
41
Топ продуктов
Kubernetes67Ingress-nginx22Nginx Ingress Controller15Cri-o11Kube-apiserver3Minikube3Java2Secrets Store Csi Driver2Apiserver1Aws-iam-authenticator1Container Storage Interface Snapshotter1Csi Proxy1Dashboard1External-provisioner1External-resizer1External-snapshotter1Image Builder1Kube-state-metrics1Operations1
Топ уязвимостей
CVE-2025-57870В версиях Esri ArcGIS Server 11.3, 11.4 и 11.5 (Windows, Linux, Kubernetes) обнаружена уязвимость типа SQL‑инъекция, позволяющая удалённому неаутентифицированному злоумышленнику выполнять произвольные SQL‑команды через определённую операцию ArcGIS Feature Service. При успешной эксплуатации возможен несанкционированный доступ, изменение или удаление данных из корпоративной геодатабазы. Эта уязвимость устраняется критическим патчем, выпущенным 7 октября 2025 г., который следует установить как можно быстрее; патч не является кумулятивным и не требует наличия других обновлений. Для систем, доступных из Интернета, рекомендуется применить обновленные правила Web Application Firewall (WAF) от Esri (версия 2.2.3), охватывающие как GET, так и POST‑запросы. Патч не затрагивает функции сервисов, использующие только хост‑слои, и не влияет на версии ArcGIS Server 11.2 и более ранние, а также не будет затронут в будущих версиях 12 и выше. Пользователям Kubernetes рекомендуется обновиться до версии 11.5, поскольку для 11.3 и 11.4 патча нет. Информация из источника [1].
Источники:
- [1] https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/arcgis-server-feature-services-security-patch
CVE-2026-33519Неправильная уязвимость авторизации существует в Esri Portal для ArcGIS 11.4, 11.5 и 12.0 на Windows, Linux и Kubernetes, которые не правильно проверяли разрешения, присвоенные учетным данным разработчика.
CVE-2025-1974В Kubernetes была обнаружена проблема безопасности, при которой при определенных условиях неаутентифицированный злоумышленник с доступом к сети подов может получить возможность выполнять произвольный код в контексте контроллера ingress-nginx. Это может привести к раскрытию секретов, доступных контроллеру. (Обратите внимание, что в дефолтной установке контроллер может получить доступ ко всем секретам в кластере.)
CVE-2023-1174Эта уязвимость предоставляет сетевой порт в minikube, работающем на macOS с драйвером Docker, что может обеспечить непредвиденный удаленный доступ к контейнеру minikube.
CVE-2018-1002105Во всех версиях Kubernetes до v1.10.11, v1.11.5 и v1.12.3 неправильная обработка ответов об ошибках на проксированные запросы обновления в kube-apiserver позволяла специально созданным запросам установить соединение через сервер API Kubernetes с бэкенд-серверами, а затем отправлять произвольные запросы по тому же соединению непосредственно в бэкенд, аутентифицированные с помощью TLS-учетных данных сервера API Kubernetes, используемых для установления соединения с бэкендом.
CVE-2016-1906Openshift позволяет удаленным злоумышленникам получить привилегии, обновив конфигурацию сборки, созданную с разрешенным типом, до типа, который не разрешен.
CVE-2026-4342Проблема безопасности была обнаружена в инстеп-гиннексе, где комбинация аннотаций Ingress может быть использована для инъекции конфигурации в nginx. Это может привести к произвольному выполнению кода в контексте контроллера ingress-ginx и раскрытию Секретов, доступных контроллеру. (Обратите внимание, что при установке по умолчанию контроллер может получить доступ ко всем кластерам в Секреты.)
CVE-2026-3288Выполнение произвольного кода в Ingress-NGINX Controller for Kubernetes
CVE-2026-24512В инстеп-ингинкс была обнаружена проблема безопасности, где поле «rules.http.paths.path` Ingress» может быть использовано для введения конфигурации в nginx. Это может привести к произвольному выполнению кода в контексте контроллера ingress-ginx и раскрытию Секретов, доступных контроллеру. (Обратите внимание, что при установке по умолчанию контроллер может получить доступ ко всем кластерам в Секреты.)
CVE-2026-1580В ingress-ginx была обнаружена проблема безопасности, когда аннотация ingress.ingress.ingress.io/auth-method` Ingress может быть использована для ввода конфигурации в nginx. Это может привести к произвольному исполнению кода в контексте контроллера ingress-ginx и раскрытию Секретов, доступных контроллеру. (Обратите в виду, что при установке по умолчанию контроллер может получить доступ ко всем кластерам Секретов.)
CVE-2025-24514Обнаружена проблема безопасности в ingress-nginx https://github.com/kubernetes/ingress-nginx, где аннотация Ingress `auth-url` может быть использована для инъекции конфигурации в nginx. Это может привести к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру. (Заметьте, что при стандартной установке контроллер может доступа ко всем секрetam на уровне кластера.)
CVE-2025-15566В ingress-nginx была обнаружена проблема безопасности, где аннотация "nginx.ingress.kubernetes.io/auth-proxy-setheaders` Ingress" может быть использована для ввода конфигурации в nginx. Это может привести к произвольному исполнению кода в контексте контроллера ingress-ginx и раскрытию Секретов, доступных контроллеру. (Обратите внимание, что при установке по умолчанию контроллер может получить доступ ко всем кластерам Секретов.)
CVE-2025-1098В этой безопасности была обнаружена проблема в ingress-nginx https://github.com/kubernetes/ingress-nginx, где аннотации Ingress `mirror-target` и `mirror-host` могут быть использованы для внедрения произвольной конфигурации в nginx. Это может привести к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру. (Обратите внимание, что в стандартной установке контроллер может получить доступ ко всем секретам по кластерам.)
CVE-2025-1097В системе ingress-nginx https://github.com/kubernetes/ingress-nginx была обнаружена проблема безопасности, при которой аннотация Ingress `auth-tls-match-cn` может использоваться для внедрения конфигурации в nginx. Это может привести к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру. (Обратите внимание, что в стандартной установке контроллер может получить доступ ко всем секретам на уровне кластера.)
CVE-2024-7646В ingress-nginx была обнаружена проблема безопасности, при которой субъект с разрешением на создание объектов Ingress (в API-группе `networking.k8s.io` или `extensions`) может обойти проверку аннотаций для внедрения произвольных команд и получения учетных данных контроллера ingress-nginx. В конфигурации по умолчанию эти учетные данные имеют доступ ко всем секретам в кластере.
CVE-2023-5528Проблема безопасности была обнаружена в Kubernetes, где пользователь, который может создавать поды и постоянные тома на узлах Windows, может быть в состоянии повысить свои привилегии до административных на этих узлах. Кластеры Kubernetes затрагиваются только в том случае, если они используют встроенный плагин хранения для узлов Windows.
CVE-2023-5044Внедрение кода через аннотацию nginx.ingress.kubernetes.io/permanent-redirect.
CVE-2023-5043Инъекция аннотаций nginx ingress приводит к выполнению произвольных команд.
CVE-2023-3955В Kubernetes была обнаружена проблема безопасности, при которой пользователь,
который может создавать поды на узлах Windows, может получить права администратора
на этих узлах. Кластеры Kubernetes затрагиваются только в том случае, если они
включают узлы Windows.
CVE-2023-3893В Kubernetes была обнаружена проблема безопасности, при которой пользователь, который может создавать поды на Windows-узлах, запущенных kubernetes-csi-proxy, может получить права администратора на этих узлах. Кластеры Kubernetes затрагиваются только в том случае, если в них есть Windows-узлы, работающие под управлением kubernetes-csi-proxy.
CVE-2023-3676В Kubernetes была обнаружена проблема безопасности, где пользователь, который может создавать поды на узлах Windows, может получить права администратора на этих узлах. Кластеры Kubernetes подвержены этой проблеме, только если они включают узлы Windows.
CVE-2022-3294Пользователи могут иметь доступ к защищенным конечным точкам в сети плоскости управления. Кластеры Kubernetes затрагиваются только в том случае, если ненадежный пользователь может изменять объекты Node и отправлять им прокси-запросы. Kubernetes поддерживает проксирование узлов, которое позволяет клиентам kube-apiserver получать доступ к конечным точкам Kubelet для установления соединений с Pods, получения журналов контейнеров и многого другого. Хотя Kubernetes уже проверяет адрес проксирования для Nodes, ошибка в kube-apiserver позволила обойти эту проверку. Обход этой проверки может позволить аутентифицированным запросам, предназначенным для Nodes, попасть в частную сеть API-сервера.
CVE-2022-0811Обнаружена уязвимость в CRI-O в способе установки параметров ядра для pod. Эта проблема позволяет любому, у кого есть права на развертывание pod в кластере Kubernetes, использующем среду выполнения CRI-O, добиться выхода из контейнера и выполнения произвольного кода от имени root на узле кластера, где был развернут вредоносный pod.
CVE-2021-25741В Kubernetes обнаружена проблема безопасности, из-за которой пользователь может создать контейнер с подключением томов подпути для доступа к файлам и каталогам за пределами тома, в том числе в файловой системе хоста.
CVE-2018-1002103В версиях Minikube 0.3.0-0.29.0 minikube предоставляет Kubernetes Dashboard, прослушивающий IP-адрес виртуальной машины по порту 30000. В средах виртуальных машин, где IP-адрес легко предсказать, злоумышленник может использовать DNS rebinding для косвенного выполнения запросов к Kubernetes Dashboard, создания нового развертывания Kubernetes, запускающего произвольный код. Если используется minikube mount, злоумышленник также может получить прямой доступ к файловой системе хоста.