つみかさね

CVE-2026-3288

High(8.8)

CVE-2026-3288 — ingress-nginx rewrite-target アノテーション設定インジェクション

公開日: 2026-05-07データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
ingress-nginxKubernetes複数バージョンが影響(最新版で修正済み)

対応ガイド

high|推奨セキュリティ修正影響: 極めて広範

推奨アクション

  1. 1クラスター内で使用している ingress-nginx のバージョンを確認
  2. 2最新版の ingress-nginx へアップデート
  3. 3Ingress リソース作成権限の RBAC を見直し、必要最小限に制限

影響対象

Kubernetes ingress-nginx

補足

  • -デフォルト設定ではコントローラーがクラスター全体の Secrets にアクセスできるため、影響が広範囲に及ぶ可能性がある
CVEKubernetesingress-nginx設定インジェクションRCE

概要

ingress-nginx は Kubernetes クラスターにおいて最も広く使われている Ingress コントローラーの一つです。外部からのHTTPトラフィックをクラスター内のサービスへルーティングする重要な役割を担っています。

この脆弱性は nginx.ingress.kubernetes.io/rewrite-target Ingress アノテーションの入力検証の不備に起因します。攻撃者は Ingress リソースの作成権限を持っている場合、細工したアノテーション値を通じて nginx の設定ファイルに任意のディレクティブをインジェクションすることが可能です。

これにより ingress-nginx コントローラーのコンテキストで任意のコードが実行され、コントローラーがアクセス可能な Kubernetes Secrets が漏洩する恐れがあります。デフォルト設定ではコントローラーはクラスター全体の Secrets にアクセスできるため、影響範囲は非常に広くなります。Kubernetes を利用している組織は速やかに ingress-nginx のバージョンを確認し、アップデートを検討してください。

CVSSベクトル

指標
CVSSスコア8.8
深刻度High
CWECWE-20 (不適切な入力検証)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル低(Ingressリソース作成権限)

影響を受けるソフトウェア

製品ベンダー影響バージョン
ingress-nginxKubernetes複数バージョンが影響(最新版で修正済み)

修正バージョンと回避策

  • ingress-nginx を最新版へアップデートしてください
  • アップデートが困難な場合は、Ingress リソースの作成権限を信頼できるユーザーのみに制限してください
  • ingress-nginx コントローラーの RBAC 設定を見直し、Secrets へのアクセス範囲を必要最小限に制限することを推奨します

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-3288
GitHub:https://github.com/kubernetes/kubernetes/issues/137560
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。