主流 Kubernetes 流量网关组件 ingress-nginx 被曝存在高危安全漏洞。该漏洞编号为 CVE‑2026‑3288,CVSS 评分高达 8.8,核心问题源于控制器对特定注解的处理机制,攻击者可借此突破沙箱限制,获取集群敏感数据控制权。
漏洞出在
nginx.ingress.kubernetes.io/rewrite-target 这一 Ingress 注解上。安全研究人员证实,该注解可被恶意利用,直接向底层 Nginx 进程注入非法配置。漏洞一旦被成功利用,将造成极其严重的后果:
任意代码执行:攻击者可在 ingress-nginx 控制器进程上下文中执行任意代码。
大规模数据泄露:由于默认部署下控制器通常拥有集群级访问权限,攻击者可遍历并泄露整个 Kubernetes 集群内的所有 Secret 密钥信息。
该漏洞仅影响运行 ingress-nginx 控制器的环境。你可通过以下命令检查集群是否受影响:
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx受影响版本
- ingress-nginx:1.13.8 之前的版本
- ingress-nginx:1.14.4 之前的版本
- ingress-nginx:1.15.0 之前的版本
管理员应立即检查集群中 Ingress 资源是否存在被篡改痕迹,重点关注
rules.http.paths.path 字段中的可疑内容,此类特征通常意味着已发生攻击尝试。
最根本的修复方案:将 ingress-nginx 升级至已修复版本(v1.13.8、v1.14.4 或 v1.15.0 及更高版本)。
若暂无法立即升级,可通过准入控制策略临时禁用
rewrite-target 注解,在完成补丁升级前降低风险。
发表评论
您还未登录,请先登录。
登录