BLOG | NGINX

¿Qué controladores de ingreso NGINX se ven afectados por CVE-2022-4886, CVE-2023-5043 y CVE-2023-5044?

NGINX - Parte de F5 - horizontal, negro, tipo RGB
Miniatura de Ilya Krutov
Ilya Krutov
Publicado el 3 de noviembre de 2023

El 25 de octubre de 2023, el Instituto Nacional de Estándares y Tecnología (NIST) informó tres CVE que afectaron a NGINX Ingress Controller para Kubernetes :

  • CVE-2022-4886 : la desinfección de la ruta de ingreso de Nginx se puede omitir con la directiva log_format .
  • CVE-2023-5043 : la inyección de anotaciones ingress-nginx provoca la ejecución de comandos arbitrarios.
  • CVE-2023-5044 : La inyección de código se produce a través de la anotación nginx.ingress.kubernetes.io/permanent-redirect.

Ese informe y las publicaciones posteriores (como Urgent: Nuevas fallas de seguridad descubiertas en el controlador de ingreso NGINX para Kubernetes ) provocaron cierta confusión (y varias consultas de soporte) con respecto a qué controladores de ingreso NGINX están realmente afectados y quién debería preocuparse por abordar las vulnerabilidades descritas por estos CVE.

La confusión es totalmente comprensible: ¿sabías que hay más de un controlador Ingress basado en NGINX? Para empezar, hay dos proyectos completamente diferentes llamados “NGINX Ingress Controller”:

También hay otros controladores de Ingress basados en NGINX, como Kong. Afortunadamente sus nombres se distinguen fácilmente. Si no está seguro de cuál está usando, verifique la imagen del contenedor del controlador Ingress en ejecución y luego compare el nombre de la imagen de Docker con los repositorios enumerados anteriormente.

Las vulnerabilidades (CVE-2022-4886, CVE-2023-5043 y CVE-2023-5044) descritas anteriormente solo se aplican al proyecto comunitario ( kubernetes/ingress-nginx ). Los proyectos NGINX para NGINX Ingress Controller ( nginxinc/kubernetes-ingress , tanto de código abierto como comerciales) no se ven afectados por estos CVE.

Para obtener más información sobre las diferencias entre el controlador de ingreso NGINX y los proyectos de controlador de ingreso, lea nuestro blog Una guía para elegir un controlador de ingreso, parte 4: Opciones del controlador de ingreso NGINX .


"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.