つみかさね

CVE-2026-3288

High(8.8)

CVE-2026-3288 — ingress-nginx rewrite-target インジェクション

公開日: 2026-05-01データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
ingress-nginxKubernetes修正バージョン未満の全バージョン

対応ガイド

high|推奨セキュリティ修正影響: 極めて広範

推奨アクション

  1. 1ingress-nginxのバージョンを確認
  2. 2最新バージョンへアップデート
  3. 3rewrite-targetアノテーションの使用状況を監査

影響対象

Kubernetes ingress-nginx利用者

補足

  • -デフォルト構成ではクラスタ全体のSecretに影響する可能性があります
CVEKubernetesingress-nginxインジェクション

概要

ingress-nginx において、nginx.ingress.kubernetes.io/rewrite-target Ingress アノテーションを利用して nginx 設定にインジェクションが可能な脆弱性が発見されました。

この脆弱性を悪用すると、ingress-nginx コントローラのコンテキストで任意コードを実行したり、コントローラがアクセス可能な Kubernetes Secret を窃取したりすることが可能です。デフォルトのインストール構成ではコントローラがクラスタ全体の Secret にアクセスできるため、影響範囲が非常に広くなります。

CVSSベクトル

項目
CVSSスコア8.8 (High)
攻撃元ネットワーク
攻撃条件
必要な権限
ユーザー操作不要
CWECWE-20 (入力検証不備)

影響を受けるソフトウェア

製品ベンダー影響バージョン
ingress-nginxKubernetes修正バージョン未満の全バージョン

修正バージョンと回避策

  • 修正バージョン: ingress-nginx の最新バージョンへアップデート
  • 暫定回避策: rewrite-target アノテーションの使用状況を監査し、信頼できないユーザーによる Ingress リソースの作成を制限する

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-3288
Kubernetes Issue:https://github.com/kubernetes/kubernetes/issues/137560
oss-security:http://www.openwall.com/lists/oss-security/2026/03/09/8
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。