CVE-2026-23742 (CNNVD-202601-2739)
中文标题:
Skipper 安全漏洞
英文标题:
Skipper arbitrary code execution through lua filters
漏洞描述
中文描述:
Skipper是一个用于服务组合的 HTTP 路由器和反向代理。 Skipper 0.23.0之前版本存在安全漏洞,该漏洞源于默认配置允许不受信任用户创建Lua过滤器,可能导致文件系统读取。
英文描述:
Skipper is an HTTP router and reverse proxy for service composition. The default skipper configuration before 0.23.0 was -lua-sources=inline,file. The problem starts if untrusted users can create lua filters, because of -lua-sources=inline , for example through a Kubernetes Ingress resource. The configuration inline allows these user to create a script that is able to read the filesystem accessible to the skipper process and if the user has access to read the logs, they an read skipper secrets. This vulnerability is fixed in 0.23.0.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| zalando | skipper | < 0.23.0 | - | - |
cpe:2.3:a:zalando:skipper:<_0.23.0:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
参考链接
cve.org
cve.org
cve.org
CVSS评分详情
3.1 (cna)
HIGHCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2026-23742 |
2026-01-17 02:19:59 | 2026-01-17 06:00:12 |
| NVD | nvd_CVE-2026-23742 |
2026-01-17 03:00:05 | 2026-01-17 06:00:16 |
| CNNVD | cnnvd_CNNVD-202601-2739 |
2026-01-26 02:10:02 | 2026-01-25 18:11:48 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 其他
- cnnvd_id: 未提取 -> CNNVD-202601-2739
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- data_sources: ['cve'] -> ['cve', 'nvd']