文档首页/ 云容器引擎 CCE_Autopilot集群/ 服务公告/ 漏洞公告/ NGINX Ingress控制器验证绕过漏洞公告(CVE-2024-7646)
更新时间:2025-01-16 GMT+08:00

NGINX Ingress控制器验证绕过漏洞公告(CVE-2024-7646)

漏洞详情

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

验证绕过、命令注入

CVE-2024-7646

严重

2024-08-19

漏洞影响

在社区ingress-nginx控制器v1.11.2之前的版本中,攻击者若具备在Kubernetes集群中创建Ingress对象(属于networking.k8s.io或extensions API 组)的权限,可能绕过注解验证并注入任意命令,从而获取ingress-nginx控制器的凭证,并访问集群中的所有敏感信息。

CCE Autopilot集群中安装NGINX Ingress控制器插件,且版本低于2.4.14时涉及该漏洞。

判断方法

  1. 使用kubectl查找与cceaddon-nginx-ingress相关的Pod:
    kubectl get po -A | grep cceaddon-nginx-ingress

    若返回如上图,则代表集群中安装了NGINX Ingress控制器插件。

  2. 检查NGINX Ingress控制器插件使用的nginx-ingress镜像版本:
    kubectl get deploy cceaddon-nginx-ingress-controller -nkube-system -oyaml|grep -w image

    如上图,若当前安装的NGINX Ingress控制器插件对应的社区nginx-ingress版本低于v1.11.2,则涉及该漏洞。

漏洞修复方案

当前CCE Autopilot集群的NGINX Ingress控制器插件已修复该漏洞,请及时将插件升级至漏洞修复版本。

已修复插件版本:2.4.14及以上版本。

相关链接

社区已经发布版本修复:https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.11.2