近日,Kubernetes 社區披露了 Nginx Ingress 相關高危漏洞 CVE-2026-24512。攻擊者可利用 Ingress 資源中的 rules.http.paths.path 欄位向底層 NGINX 注入惡意配置,進而在 Nginx Ingress Controller 上下文中執行任意代碼,並竊取 Controller 有權訪問的 Kubernetes Secrets。該漏洞被評估為高危漏洞,CVSS 評分8.8。
預設安裝配置下,Controller 具備訪問叢集範圍內所有 Secrets 的許可權。
影響範圍
未安裝 Nginx Ingress Controller 組件的叢集不受此漏洞影響。該組件可通過以下兩種方式安裝。
組件管理
以下命令若有輸出則表明已安裝。
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginxHelm 應用市場
在ACK叢集列表頁面,單擊目的地組群名稱,在叢集詳情頁左側導覽列,選擇。
在列表中查看是否存在
ack-ingress-nginx或ack-ingress-nginx-v1對應的 Chart 應用。如存在,則表明已安裝。通過 Helm 應用市場安裝的應用版本為Nginx Ingress Controller 的版本號碼。
受影響的 Nginx Ingress 版本如下:
版本分支 | 受影響範圍 | 修複版本 |
1.13.x | < v1.13.7 | v1.13.7 |
1.14.x | < v1.14.3 | v1.14.3 |
如何檢測
檢查 Ingress 資源的 rules.http.paths.path 欄位,若其中存在可疑資料,可能表明有人正在嘗試利用此漏洞。
# 查看所有 Ingress 的 path 欄位
kubectl get ingress --all-namespaces -o json | \
jq '.items[].spec.rules[]?.http.paths[]?.path'解決方案
ACK發行漏洞修複版本 v1.13.9-release.1,請及時升級至最新的漏洞修複版本。步驟詳見升級Nginx Ingress Controller組件。