高危 | Kubernetes Ingress-nginx Secret 泄露漏洞

VSole2022-04-24 17:29:09

0x01

漏洞状态

漏洞细节

漏洞POC

漏洞EXP

在野利用

未公开

未知

0x02

漏洞描述

Ingress-nginx是开源的Kubernetes入口控制器，它使用NGINX作为反向代理和负载均衡器。

360漏洞云监测到在Ingress-nginx中存在安全漏洞，可以创建或更新 Ingress 对象的用户可以在 Ingress 对象中使用.metadata.annotations来获取 ingress-nginx 控制器的凭据。该凭证可以访问集群中的所有Secret。漏洞编号: CVE-2021-25746；漏洞等级：高危；漏洞评分：7.6。

Ingress-nginx Secret 泄露漏洞

漏洞编号

CVE-2021-25746

漏洞类型

信息泄露

信息安全虚拟侵入

撤稿纠错

本作品采用《CC 协议》，转载必须注明作者和本文链接

好购App未经许可读取用户手机剪贴板内容法院认定侵害隐私权

2021-12-29 06:32:18

同时，小林向法院提供了自行编写的《好购App读取剪贴板信息技术分析报告》和司法鉴定机构出具的鉴定意见，上述报告结果和鉴定意见均为好购App具有监控手机剪贴板功能，当该App检测到剪贴板有数据时，就会自动获取剪贴板上的所有数据。好购公司辩称，为了提升用户体验好购App需获取剪贴板数据，但仅将符合格式要求的数据上传网络服务器分析并匹配对应的商品，如有对应的商品则进行跳转，如无对应的商品则丢弃不存储

北京警方通报5起不履行网络安全保护义务处罚案例

2024-02-27 10:41:13

近期，北京市公安局网安部门加大对不履行网络安全保护义务违法行为的打击力度，切实压紧压实网络运营者的主体责任，对未建立管理制度、不履行网络信息安全管理义务的多家违法企业依法给予行政处罚。

网安智库｜国内外最新网络安全发展态势

2021-08-19 13:14:53

重要事件回顾，智览网安行业发展。近日国内外网安行业发生了哪些重要事件，呈现出了怎样的发展态势呢？中国网安科技情报研究团队将从行业大角度出发，带领大家回顾近日国内外行业的重要事件，探究其中的发展态势。

基于可信计算的纵深防护体系在云计算中的应用研究

2023-05-04 09:12:32

1网络空间安全防护现状安全与入侵、防护与破解是信息安全永恒的话题。当前网络安全问题主要包含保密性、完整性、可用性和不可抵赖性 4 个方面的内容，安全威胁涉及芯片、主板、系统软件、应用软件、网络等多个环节。该框架能够有效实施多层隔离和保护，以避免因某一薄弱环节影响整体安全，并防止外部攻击。可信安全防护范围如下文所述。

网络安全应急响应

2022-07-21 10:18:08

网络安全应急响应就是要对网络安全有清晰认识，有所预估和准备，从而在一旦发生突发网络安全事件时，有序应对、妥善处理。实际上，我国网络安全应急响应体系建设也是建立在原有应急响应体系基础上的，并经过实践不断改进完善。2014年2月27日，习总书记在中央网络安全与信息化领导小组成立的讲话中指出“没有网络安全，就没有国家安全”。

海淀区检察院：《网络安全保护检察白皮书（2016-2021）》

2021-12-08 13:34:03

习近平总书记指出，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。网络空间不是法外之地，依法惩治和有效预防网络犯罪，推动健全网络综合治理体系，以法治力量引导科技向上向善，营造清朗的网络空间，是检察机关的重要职责。

海淀区检察院《网络安全保护检察白皮书（2016-2021）》发布

2021-12-05 12:40:05

海淀区检察院发布《网络安全保护检察白皮书（2016-2021）》

2021-12-03 05:33:44

信息犯罪与电子取证：信息犯罪类型

2021-09-13 05:15:52

信息犯罪具体表现形式多样，这些不同形式的犯罪各具特点。当研究信息犯罪角度不同时，采取相应的划分标准进行分类，有利于对其进一步的研究和深入分析。

VSole

网络安全专家