漏洞关键信息 概述 漏洞标题: skipper arbitrary code execution through lua filters CVE ID: CVE-2026-23742 发布日期: 3天前 严重程度: High (CVSS v3 base score: 8.8/10) 影响 受影响版本: <v0.23 修补版本: v0.23 影响描述: 通过lua filters实现任意代码执行。默认配置中,如果未经验证的用户可以创建Lua过滤器,可能会引起问题,特别是通过Kubernetes Ingress资源。配置 允许这些用户读取skipper进程的文件系统,如果用户能访问日志,他们可以读取skipper密钥。 例子 修复 v0.23.0版本默认禁用了Lua。 权宜之计 通过 配置来减少对Lua过滤器的支持,该配置仅在攻击者在目标系统上创建Lua脚本文件时才会被利用。 弱点 CWE-94: 缺乏对动态代码生成和评估的控制 CWE-250: 允许未经授权的控制流程影响 CWE-522: 不适当的构造控制流管理