つみかさね

CVE-2026-4342

High(8.8)

CVE-2026-4342 — Kubernetes ingress-nginx アノテーションによる設定インジェクション

公開日: 2026-05-21データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
ingress-nginxKubernetes修正バージョン未満(公式アドバイザリを参照)

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1使用中のingress-nginxバージョンを確認する(kubectl get pods -n ingress-nginx -o yaml)
  2. 2公式GitHubリポジトリで修正バージョンを確認し、アップグレードを計画する
  3. 3Ingressリソースに対するRBAC権限を見直し、信頼できないユーザーのアノテーション変更を制限する
  4. 4ingress-nginxを最新バージョンへアップデートする

影響対象

Kubernetes ingress-nginx利用者

補足

  • -デフォルトインストールではコントローラーがクラスタ全体のSecretsにアクセスできるため影響範囲が広い
  • -Ingressリソースを直接操作できるユーザーが存在する環境では早急な対応を推奨します
CVEKubernetesingress-nginx設定インジェクションSecrets漏洩

概要

Kubernetes ingress-nginxにおいて、Ingressリソースのアノテーションの組み合わせを悪用することでnginxの設定にインジェクションが可能な脆弱性が存在します。ingress-nginxコントローラーのコンテキストで任意コードが実行される可能性があり、デフォルトインストールではコントローラーがクラスタ全体のSecretsにアクセスできるため、機密情報の漏洩リスクがあります。

CVSSベクトル

項目
スコア8.8(High)
攻撃経路(AV)ネットワーク(Network)
攻撃複雑度(AC)低(Low)
必要権限(PR)低(Low)
ユーザー操作(UI)不要(None)
影響範囲(S)変更(Changed)
機密性(C)高(High)
完全性(I)高(High)
可用性(A)高(High)

影響を受けるソフトウェア

製品ベンダー影響バージョン
ingress-nginxKubernetes修正バージョン未満(公式アドバイザリを参照)

修正バージョンと回避策

  • 更新: ingress-nginx の最新バージョンへのアップデートを推奨します
  • 回避策:
    • Ingressリソースに対するアノテーションの使用を最小限に制限する
    • 信頼できないユーザーがIngressリソースを作成・変更できる権限を持たないようにRBACを見直す
    • --enable-annotation-validationオプションの使用を検討する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-41179Rclone 認証なしリモートコード実行CVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-4342
GitHub:https://github.com/kubernetes/kubernetes/issues/137893
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。