Nginx Ingress 存在高危漏洞 CVE-2026-3288:nginx.ingress.kubernetes.io/rewrite-targetAnnotation可被用于向 Nginx 注入配置,攻击者可借此在 Nginx Ingress Controller 的上下文中执行任意代码,并泄露 Controller 可访问的 Kubernetes Secrets。该漏洞被评估为高危漏洞,CVSS 评分8.8。
影响范围
未安装 Nginx Ingress Controller 组件的集群不受此漏洞影响。该组件可通过以下两种方式安装。
组件管理
以下命令若有输出则表明已安装。
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginxHelm 应用市场
在ACK集群列表页面,单击目标集群名称,在集群详情页左侧导航栏,选择。
在列表中查看是否存在
ack-ingress-nginx或ack-ingress-nginx-v1对应的 Chart 应用。如存在,则表明已安装。通过 Helm 应用市场安装的应用版本为Nginx Ingress Controller 的版本号。
受影响版本 | 修复版本 |
< v1.13.8 | v1.13.8 |
< v1.14.4 | v1.14.4 |
< v1.15.0 | v1.15.0 |
如何检测
检查 Ingress 资源的 rules.http.paths.path 字段,若其中存在可疑数据,可能表明有人正在尝试利用此漏洞。
解决方案
关注Nginx Ingress Controller的发布记录,升级Nginx Ingress Controller组件至最新的漏洞修复版本。
通过部署策略ACKIngressRewriteWhitelist 限制
nginx.ingress.kubernetes.io/rewrite-targetAnnotation添加白名单限制,防止攻击者注入恶意配置。