近日,Kubernetes 社区披露了 Nginx Ingress 相关高危漏洞 CVE-2026-24512。攻击者可利用 Ingress 资源中的 rules.http.paths.path 字段向底层 NGINX 注入恶意配置,进而在 Nginx Ingress Controller 上下文中执行任意代码,并窃取 Controller 有权访问的 Kubernetes Secrets。该漏洞被评估为高危漏洞,CVSS 评分8.8。
默认安装配置下,Controller 具备访问集群范围内所有 Secrets 的权限。
影响范围
未安装 Nginx Ingress Controller 组件的集群不受此漏洞影响。该组件可通过以下两种方式安装。
组件管理
以下命令若有输出则表明已安装。
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginxHelm 应用市场
在ACK集群列表页面,单击目标集群名称,在集群详情页左侧导航栏,选择。
在列表中查看是否存在
ack-ingress-nginx或ack-ingress-nginx-v1对应的 Chart 应用。如存在,则表明已安装。通过 Helm 应用市场安装的应用版本为Nginx Ingress Controller 的版本号。
受影响的 Nginx Ingress 版本如下:
版本分支 | 受影响范围 | 修复版本 |
1.13.x | < v1.13.7 | v1.13.7 |
1.14.x | < v1.14.3 | v1.14.3 |
如何检测
检查 Ingress 资源的 rules.http.paths.path 字段,若其中存在可疑数据,可能表明有人正在尝试利用此漏洞。
# 查看所有 Ingress 的 path 字段
kubectl get ingress --all-namespaces -o json | \
jq '.items[].spec.rules[]?.http.paths[]?.path'解决方案
ACK已发布漏洞修复版本 v1.13.9-release.1,请及时升级至最新的漏洞修复版本。步骤详见升级Nginx Ingress Controller组件。