文章总结： Ingress-nginx存在严重漏洞CVE-2026-24512，攻击者可利用Ingress资源path字段注入恶意配置，进而执行任意代码并窃取集群密钥。该漏洞影响特定旧版本，建议立即升级至修复版，或部署验证准入控制器拒绝特定路径类型以临时缓解，并长期考虑迁移替代方案。 综合评分： 88 文章分类： 漏洞预警,云安全,解决方案

Ingress-Nginx 漏洞允许攻击者执行任意代码

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月4日 20:01 北京

流行的 Kubernetes 入口控制器ingress-nginx中发现了一个严重的安全漏洞，该漏洞可能允许经过身份验证的攻击者执行任意代码并访问敏感的集群密钥。

该漏洞编号为 CVE-2026-24512，影响多个软件版本，需要管理员立即采取行动。

Ingress 资源的 rules.http.paths.path 字段存在安全漏洞，攻击者可以利用该漏洞将恶意配置注入到 nginx Web 服务器中。

此配置注入漏洞使攻击者能够在 ingress-nginx 控制器的上下文中执行任意代码。

此外，攻击者还可以未经授权访问控制器有权读取的密钥。

在默认安装中，ingress-nginx 控制器通常可以访问整个 Kubernetes 集群中的所有 Secret，从而大大增加潜在的影响。

这表明该漏洞可以通过网络远程利用，攻击复杂度低，只需要低级权限，无需用户交互。

受影响版本

该漏洞会影响以下 ingress-nginx 版本：

| 产品 | 受影响版本 | 修复版本 | | — | — | — | | ingress-nginx | 所有版本 < v1.13.7 | v1.13.7 或更高版本 | | ingress-nginx | 所有版本 < v1.14.3 | v1.14.3 或更高版本 |

使用 ingress-nginx 的组织必须立即采取措施保护其 Kubernetes 集群。

Kubernetes安全响应委员会建议尽快升级到 ingress-nginx 版本 1.13.7、1.14.3 或任何更高版本。

详细的升级说明请参阅官方的 Ingress-NGINX 升级文档。

对于无法立即升级的环境，管理员可以通过部署验证准入控制器来实施临时缓解措施。

应配置此控制器以拒绝任何使用 ImplementationSpecific 路径类型的 Ingress 资源，从而有效地阻止攻击向量，直到完成适当的升级。

安全团队应监控其 Kubernetes 环境，以发现攻击迹象。Ingress资源的 rules.http.paths.path 字段中可疑或格式错误的数据可能表明存在攻击尝试。

根据 Kubernetes安全公告，组织可以通过执行以下命令来验证他们是否正在运行易受攻击的版本：kubectl get pods –all-namespaces –selector app.kubernetes.io/name=ingress-nginx。

如果发现利用漏洞的证据，管理员应立即联系 Kubernetes 安全团队，邮箱地址为 [email protected]。

值得注意的是，正如 Kubernetes 项目宣布的那样，ingress-nginx 的维护即将停止，因此迁移到替代的入口解决方案是长期安全性的战略考虑。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Ingress-Nginx 漏洞允许攻击者执行任意代码》