文章预览
一、漏洞 概述 漏洞名称 Kubernetes Ingress-nginx注解验证绕过漏洞 CVE ID CVE-2024-7646 漏洞类型 验证绕过、命令注入 发现时间 2024-08-19 漏洞评分 8.8 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 ingress-nginx是Kubernetes中一个流行的Ingress控制器,它使用NGINX作为反向代理和负载均衡器,旨在用于管理外部访问到Kubernetes集群内部服务的路由。 2024年8月19日,启明星辰集团VSRC监测到Ingress-nginx中存在一个验证绕过命令注入漏洞(CVE-2024-7646),该漏洞的CVSS评分为8.8。 ingress-nginx 控制器 v1.11.2之前版本中,有权在Kubernetes集群中创建Ingress对象(属于networking.k8s.io或extensions API组)的威胁者可以绕过注解验证并注入任意命令,进而获取ingress-nginx控制器的凭证,访问集群中存储的所有敏感信息。 二、影响范围 ingress-ngi
………………………………
