【漏洞通告】Kubernetes Ingress-nginx注解验证绕过漏洞（CVE-2024-7646）

文章预览

一、漏洞 概述 漏洞名称 Kubernetes Ingress-nginx注解验证绕过漏洞 CVE   ID CVE-2024-7646 漏洞类型 验证绕过、命令注入 发现时间 2024-08-19 漏洞评分 8.8 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 ingress-nginx是Kubernetes中一个流行的Ingress控制器，它使用NGINX作为反向代理和负载均衡器，旨在用于管理外部访问到Kubernetes集群内部服务的路由。 2024年8月19日，启明星辰集团VSRC监测到Ingress-nginx中存在一个验证绕过命令注入漏洞（CVE-2024-7646），该漏洞的CVSS评分为8.8。 ingress-nginx 控制器 v1.11.2之前版本中，有权在Kubernetes集群中创建Ingress对象（属于networking.k8s.io或extensions API组）的威胁者可以绕过注解验证并注入任意命令，进而获取ingress-nginx控制器的凭证，访问集群中存储的所有敏感信息。 二、影响范围 ingress-ngi ………………………………