Quatre vulnérabilités ont été découvertes dans le contrôleur réseau open source Ingress Nginx. Il est largement utilisé dans les déploiements Kubernetes, mais son support doit s’arrêter fin mars.

Alerte sur la sécurité de l’outil open source Ingress Nginx - géré par la CNCF et à ne pas confondre avec le logiciel de serveur web éponyme - avec la découverte de quatre failles. Deux d’entre elles présentent un score CVSS de 8,8. La CVE-2026-1580 est un problème de validation des entrées. Si le contrôleur Ingress Ngnix est paramétré avec une configuration d’erreurs personnalisées par défaut incluant les erreurs HTTP 401 ou 403, et si le backend d’erreurs personnalisées par défaut configuré est défectueux et ne respecte pas l’en-tête HTTP Xcode, alors un Ingress avec l’annotation auth-url peut être accédé même en cas d’échec d’authentification.