Nginx Ingress 存在高危漏洞 CVE-2026-3288:nginx.ingress.kubernetes.io/rewrite-targetAnnotation可被用於向 Nginx 注入配置,攻擊者可藉此在 Nginx Ingress Controller 的上下文中執行任意代碼,並泄露 Controller 可訪問的 Kubernetes Secrets。該漏洞被評估為高危漏洞,CVSS 評分8.8。
影響範圍
未安裝 Nginx Ingress Controller 組件的叢集不受此漏洞影響。該組件可通過以下兩種方式安裝。
組件管理
以下命令若有輸出則表明已安裝。
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginxHelm 應用市場
在ACK叢集列表頁面,單擊目的地組群名稱,在叢集詳情頁左側導覽列,選擇。
在列表中查看是否存在
ack-ingress-nginx或ack-ingress-nginx-v1對應的 Chart 應用。如存在,則表明已安裝。通過 Helm 應用市場安裝的應用版本為Nginx Ingress Controller 的版本號碼。
受影響版本 | 修複版本 |
< v1.13.8 | v1.13.8 |
< v1.14.4 | v1.14.4 |
< v1.15.0 | v1.15.0 |
如何檢測
檢查 Ingress 資源的 rules.http.paths.path 欄位,若其中存在可疑資料,可能表明有人正在嘗試利用此漏洞。
解決方案
關注Nginx Ingress Controller的發布記錄,升級Nginx Ingress Controller組件至最新的漏洞修複版本。
通過部署策略ACKIngressRewriteWhitelist 限制
nginx.ingress.kubernetes.io/rewrite-targetAnnotation添加白名單限制,防止攻擊者注入惡意配置。