Kong Ingress Controller for Kubernetes (KIC): Secret-backed plugin configurations leak through non-sensitive diagnostics endpoint
Kong Ingress Controller for Kubernetes (KIC): Secret-backed plugin configurations leak through non-sensitive diagnostics endpoint
Prioriteit & onderbouwing
Prioriteit: Laag
Monitoren
Laag (34/100): monitoren. Zwaarst wegend: technische ernst en betrouwbaarheid van het signaal.
midden
- Technische ernst (severity): Genormaliseerde ernst 'medium'; geen CVSS-score beschikbaar.
laag
- Geen exploit bekend: Er is geen exploit of actief misbruik bekend.
laag
- Gemeentelijke relevantie: Relevantiescore 15/100 uit de relevantie-engine (module 5).
midden
- Technische ernst: Threat Score 42/100 x gewicht 25%.
- Exploitatie: Exploit Score 10/100 x gewicht 25%.
- Gemeentelijke relevantie: Relevantiescore 15/100 x gewicht 22%.
- Betrouwbaarheid van het signaal: Confidence 'likely' x gewicht 12%.
- Blootstellingskans: Geschatte blootstelling 30% x gewicht 10%.
- Betrouwbaarheid van de bron: Bronbetrouwbaarheid 88% x gewicht 6%.
De priority_score is de Action Urgency Score: een gewogen combinatie van de technische ernst, de exploitatie en de gemeentelijke relevantie.
Toelichting
## Summary A vulnerability in the Kong Ingress Controller (KIC) allows for the unauthorized exposure of sensitive plugin credentials through the diagnostics interface. Even when configured to redact sensitive information (using `--dump-sensitive-config=false`), KIC fails to sanitize the `Plugins` field in diagnostic configuration dumps. This causes secrets referenced via `configFrom.secretKeyRef` to be resolved and displayed in plaintext. Because the diagnostics HTTP endpoints require no authentication, any process within the cluster network capable of reaching the KIC pod can exfiltrate sensitive data, including API keys, bearer tokens, and database passwords. ## Am I affected? You are affected if all of the following hold: 1. You are using Kong Ingress Controller with **diagnostics enabled** (`--dump-config=true`). 2. You have **not explicitly enabled** sensitive dumping (`--dump-sensitive-config=false`), creating an expectation of redaction. 3. You use `KongPlugin` or `KongClusterPlugin` resources that reference Kubernetes Secrets via **`configFrom.secretKeyRef`**. 4. The KIC diagnostics port (default `10256`) is reachable by other workloads or users within your cluster. You are not affected if: - The `--dump-config` flag is set to `false` (default behavior). - You do not use secret-backed configurations in your Kong plugins. - Access to the KIC pod's diagnostic port is strictly blocked by NetworkPolicies. ## Mitigation 1. **Disable Diagnostics**: If not actively debugging, disable the diagnostic server by setting `--dump-config=false`. 2. **Network Isolation**: Implement a `NetworkPolicy` to restrict access to the KIC diagnostics port (default `10256`), ensuring only authorized administrative pods or IPs can reach it. 3. **Restrict Port-Forwarding**: Limit `kubectl port-forward` RBAC permissions to prevent unauthorized users from accessing the pod's local ports. ## Fix The fix introduces proper sanitization for the `Plugins` field within the configuration state. When sensitive dumping is disabled, the controller now replaces all plugin configuration values with a redaction placeholder before they are served via the diagnostics endpoints. Additionally, it is recommended to ensure your deployment environment follows the principle of least privilege regarding network access to controller components. Users should upgrade to the latest patched version of Kong Ingress Controller to ensure diagnostic dumps are correctly redacted.
Onderbouwing van de classificatie
Categorie 'supplier_incident' overgenomen van de bron; geen specifieker incidenttype gedetecteerd. Severity 'medium' bepaald op basis van: bronlabel 'medium'. Confidence 'likely': gerenommeerd securityonderzoek (GitHub Security Advisories). Geen bekende leveranciers of producten herkend.
Kwetsbaarheden
- CVSS
- —
- EPSS
- —
- KEV
- Nee
Gemeentelijke relevantie
Deze dreiging scoort 15/100 voor de gemeentelijke relevantie. Meegewogen: een leveranciers- of ketenrisico. Geraakte processen: Netwerk en infrastructuur, Leveranciersketen.
Bestuurlijke duiding
Deze dreiging heeft een beperkte gemeentelijke relevantie. Omdat het een leverancier betreft, is de gemeente afhankelijk van diens herstel en is regie op de keten nodig. Reguliere opvolging door ICT-beheer en de ISO volstaat; bestuurlijke betrokkenheid is op dit moment niet nodig.
Geraakte processen
Geraakte technologie
Betrokken rollen
CISO · ISO · SOC · ICT beheer · Leveranciersmanager
Operationele acties
- Inventariseer welke koppelingen en gegevensstromen met de leverancier lopen.
- Schakel waar nodig de koppeling met de leverancier tijdelijk uit.
- Vraag bewijs van herstel op voordat de dienstverlening wordt hervat.
Concrete stappen voor ICT-beheer en het securityteam.
Aanbevolen acties
- Breng in kaart welke leveranciers en koppelingen zijn geraakt.
- Vraag de leverancier om een statusupdate en een herstelplan.
- Beoordeel de impact op de eigen dienstverlening.
Dit zijn algemene handelingsperspectieven. Stem de opvolging af op de eigen omgeving en het ISMS van uw gemeente.
Kenmerken
- Ernst
- Midden
- Categorie
- Leveranciersincident
- Zekerheid
- Waarschijnlijk
- Status
- Verrijkt
- CVE's
- Geen
- Prioriteitsscore
- 34 / 100 · Laag
- Bron
- GitHub Security Advisories
- Gepubliceerd
- 19 mei 2026