В популярном компоненте для управления сетевым трафиком в средах Kubernetes, ingress-nginx controller, обнаружена опасная уязвимость. Она позволяет злоумышленникам выполнять произвольный код и получать доступ к конфиденциальным данным, что может привести к полному компрометированию кластера. Уязвимости присвоен идентификатор CVE-2026-24512, а её степень опасности оценена как высокая.
Детали уязвимости
Проблема, зафиксированная как CVE-2026-24512, связана с недостаточной проверкой входных данных. Конкретно, уязвимость существует в поле "rules.http.paths.path" ресурса Ingress. Злоумышленник может внедрить через это поле вредоносные конфигурационные директивы в nginx. В результате атакующий получает возможность выполнить произвольный код в контексте контроллера ingress-nginx. Более того, поскольку контроллер по умолчанию часто имеет доступ ко всем секретам в кластере Kubernetes, успешная эксплуатация уязвимости открывает путь к краже учётных данных, манипуляции рабочими нагрузками и закреплению (persistence) в инфраструктуре.
Уязвимость получила оценку 8.8 баллов по шкале CVSS v3.1, что соответствует высокому уровню риска. Для атаки не требуется высокой сложности или специальных привилегий, а её воздействие на конфиденциальность, целостность и доступность системы оценивается как значительное. Затронуты все версии ingress-nginx ниже v1.13.7 и v1.14.3. Следовательно, организациям, использующим более ранние сборки, необходимо срочно принять меры.
Комитет по реагированию на инциденты безопасности Kubernetes уже выпустил исправленные версии. Для полного устранения угрозы требуется обновить ingress-nginx до версии v1.13.7, v1.14.3 или более поздней. Разработчики проекта опубликовали подробную инструкцию по обновлению. Параллельно командам безопасности рекомендуется провести мониторинг сред на предмет возможных признаков эксплуатации. Например, следует искать подозрительные или некорректно сформированные данные в поле "rules.http.paths.path" ресурсов Ingress, включающие специальные символы или директивы конфигурации nginx.
Администраторы могут проверить наличие ingress-nginx в своих кластерах с помощью команды "kubectl get pods -all-namespaces -selector app.kubernetes.io/name=ingress-nginx". Если контроллер обнаружен, следует немедленно оценить его версию и применить патчи. Однако эта ситуация осложняется долгосрочными планами сообщества Kubernetes. Было объявлено о прекращении поддержки проекта ingress-nginx в марте 2026 года. После этой даты выпуск обновлений безопасности и исправлений ошибок прекратится.
Решение о завершении проекта принято на фоне серии критических уязвимостей, обнаруженных в ingress-nginx в течение 2025 года, включая цепочку уязвимостей IngressNightmare (CVE-2025-1974 и связанные проблемы). Эти инциденты подчеркнули сложности поддержки этого широко распространённого, но громоздкого компонента. Таким образом, перед организациями сейчас стоят две неотложные задачи. Во-первых, необходимо немедленно установить патчи для закрытия CVE-2026-24512. Во-вторых, требуется начать планирование миграции на альтернативные контроллеры входящего трафика, чтобы обеспечить безопасность и поддержку инфраструктуры после марта 2026 года.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-24512
- https://github.com/kubernetes/kubernetes/issues/136678
