概要
Kubernetes の ingress-nginx コントローラにおいて、Ingress リソースの rules.http.paths.path フィールドを通じて nginx 設定にインジェクションが可能な脆弱性が発見されました。攻撃者は Ingress リソースを作成・変更する権限を利用して、nginx の設定ディレクティブを注入できます。
この脆弱性を悪用されると、ingress-nginx コントローラのコンテキストで任意のコードが実行される可能性があります。ingress-nginx コントローラはクラスタ内の全 Ingress リソースの TLS 証明書や認証情報を含む Secret にアクセスできるため、クラスタ全体の Secret が漏洩するリスクがあります。
Kubernetes クラスタにおいて ingress-nginx は最も広く利用されている Ingress コントローラの一つであり、マルチテナント環境では特に深刻な影響が想定されます。Ingress リソースの作成権限を持つユーザーが攻撃者となり得るため、RBAC の見直しと合わせた対策が重要です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.8 |
| 深刻度 | High |
| CWE | CWE-20 (入力検証不備) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| ingress-nginx | Kubernetes | 修正前の全バージョン |
修正バージョンと回避策
- 修正バージョン: ingress-nginx の最新バージョンへアップデート
- 暫定回避策: Ingress リソースの作成・変更権限を信頼できる管理者に限定する。
pathフィールドに対するバリデーション用の Admission Webhook を導入し、不正な文字列を含むリソースの作成を防止する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。