近日,Kubernetes 社區披露了Nginx Ingress相關高危漏洞 CVE-2026-4342。攻擊者可通過組合使用 Ingress Annotation 向底層 Nginx 注入惡意配置,進而在 Nginx Ingress Controller 上下文中執行任意代碼,並竊取 Controller 有權訪問的 Kubernetes Secrets。該漏洞被評估為高危漏洞,CVSS 評分8.8。
預設安裝配置下,Controller 具備訪問叢集範圍內所有 Secrets 的許可權。
影響範圍
未安裝 Nginx Ingress Controller 組件的叢集不受此漏洞影響。該組件可通過以下兩種方式安裝。
組件管理
以下命令若有輸出則表明已安裝。
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginxHelm 應用市場
在ACK叢集列表頁面,單擊目的地組群名稱,在叢集詳情頁左側導覽列,選擇。
在列表中查看是否存在
ack-ingress-nginx或ack-ingress-nginx-v1對應的 Chart 應用。如存在,則表明已安裝。通過 Helm 應用市場安裝的應用版本為Nginx Ingress Controller 的版本號碼。
受影響的 Nginx Ingress 版本如下:
版本分支 | 受影響範圍 | 修複版本 |
1.13.x | < v1.13.9 | v1.13.9 |
1.14.x | < v1.14.5 | v1.14.5 |
1.15.x | < v1.15.1 | v1.15.1 |
如何檢測
檢查 Ingress 資源的 rules.http.paths.path 欄位,若其中存在可疑資料,可能表明有人正在嘗試利用此漏洞。
# 查看所有 Ingress 的 path 欄位
kubectl get ingress --all-namespaces -o json | \
jq '.items[].spec.rules[]?.http.paths[]?.path'解決方案
ACK發行漏洞修複版本 v1.13.9-release.1,請及時升級至最新的漏洞修複版本。步驟詳見升級Nginx Ingress Controller組件。