Ingress NGINX流量控制器发现四个新安全漏洞

在Kubernetes部署中被组织广泛使用的开源Ingress NGINX流量控制器中发现了四个安全漏洞。

这些漏洞只能通过升级到最新版本来修复。

在这四个漏洞中，有两个更为严重，因为它们的CVSS评分高达8.8：

CVE-2026-1580是一个不当输入验证问题。如果Ingress NGINX控制器配置了包含HTTP错误401或403的默认自定义错误配置，并且配置的默认自定义错误后端存在缺陷且无法遵守X-Code HTTP标头，那么即使身份验证失败，带有auth-url注释的Ingress也可能被访问。

CVE-2026-24512是一个配置注入漏洞，其中rules.http.paths.path Ingress字段可用于向nginx注入配置。这可能导致在ingress-nginx控制器的上下文中执行任意代码，并泄露控制器可访问的机密信息。

加拿大DeepCove网络安全公司首席技术官Kellman Meghu评论说："这是一个严重的漏洞。如果我能够利用它，我可以让Ingress网关创建一个直接通往内部资源的路径。这就像打开了永远不应该暴露的内部结构。这会导致进一步的暴露或攻击吗？很可能，但就影响而言，这是获得环境访问权限的第一步，从那里可能会进一步发展，最少也会造成服务中断。"

NGINX是一个反向代理/负载均衡器，通常充当前端网络流量接收器，并将其引导到应用服务进行数据转换。Ingress NGINX是在Kubernetes中用作控制进入基础设施流量的控制器版本。它负责将流量映射到运行作业的容器pod，而不暴露pod本身。Meghu表示，Ingress NGINX是主要的流量入口点，由于其能够即时重新加载配置的能力而非常有效，使其能够适应Kubernetes集群内部的变化。

这些漏洞仅影响安装在Kubernetes集群上的Ingress NGINX版本1.13.7及以下，以及1.14.3及以下。

这一警告发出的几周前，正如11月在KubeCon上宣布的那样，Ingress NGINX的支持即将结束。从3月开始，该项目将不再接受主动维护、安全补丁或错误修复。

从那时起，专家们一直敦促Kubernetes管理员转向新的控制器。他们推荐Kubernetes Gateway API作为流量管理的标准。Meghu指出它是厂商中立的且被广泛使用。其他选择包括Cilium Ingress、Traefik或HAProxy Ingress等控制器。

除了CVE-2026-24512外，其他新漏洞还包括CVE-2026-24513（Meghu认为风险较低，因为攻击者需要拥有包含特定错误的配置才能利用）和CVE-2026-24514（Meghu认为是中等风险）。如果攻击者用大量请求压垮控制器，控制器可能会遭受拒绝服务攻击。

这些只是Ingress NGINX最近的问题。一年多前，Wiz的研究人员发现了一组被称为IngressNightmare的漏洞。这些漏洞可以允许未经身份验证的用户注入恶意NGINX配置并在Ingress NGINX pod中执行恶意代码，可能暴露所有集群机密并导致集群接管。

Tenable高级研究工程师Satnam Narang告诉CSO，他认为新漏洞不如IngressNightmare令人担忧，后者被他称为可能导致集群接管的"毒性组合"。

"虽然这些新漏洞没有什么新颖之处，但它们严厉提醒所有管理员，如果还没有开始迁移，他们需要立即开始，在下个月Ingress NGINX退役之前。鉴于其即将退役，迁移是缓解这些漏洞的最佳策略。"

Q&A

Q1：Ingress NGINX是什么？有什么作用？

A：Ingress NGINX是在Kubernetes中用作控制进入基础设施流量的控制器版本。它负责将流量映射到运行作业的容器pod，而不暴露pod本身，是主要的流量入口点，能够即时重新加载配置以适应Kubernetes集群内部的变化。

Q2：CVE-2026-24512漏洞有多严重？

A：这是一个CVSS评分8.8的严重配置注入漏洞。攻击者可以利用rules.http.paths.path字段向nginx注入配置，导致任意代码执行并泄露控制器可访问的机密信息，甚至创建直接通往内部资源的路径。

Q3：如何应对Ingress NGINX的安全问题？

A：由于Ingress NGINX将在3月停止维护，专家建议立即迁移到新控制器。推荐使用Kubernetes Gateway API作为流量管理标准，或选择Cilium Ingress、Traefik、HAProxy Ingress等替代方案。