NGINX Ingress控制器验证绕过漏洞公告（CVE-2024-7646）

漏洞详情

漏洞影响

在社区ingress-nginx控制器v1.11.2之前的版本中，攻击者若具备在Kubernetes集群中创建Ingress对象（属于networking.k8s.io或extensions API 组）的权限，可能绕过注解验证并注入任意命令，从而获取ingress-nginx控制器的凭证，并访问集群中的所有敏感信息。

CCE Autopilot集群中安装NGINX Ingress控制器插件，且版本低于2.4.14时涉及该漏洞。

判断方法

1. 使用kubectl查找与cceaddon-nginx-ingress相关的Pod：

   kubectl get po -A | grep cceaddon-nginx-ingress

   

   若返回如上图，则代表集群中安装了NGINX Ingress控制器插件。

2. 检查NGINX Ingress控制器插件使用的nginx-ingress镜像版本：

   kubectl get deploy cceaddon-nginx-ingress-controller -nkube-system -oyaml|grep -w image

   

   如上图，若当前安装的NGINX Ingress控制器插件对应的社区nginx-ingress版本低于v1.11.2，则涉及该漏洞。

漏洞修复方案

当前CCE Autopilot集群的NGINX Ingress控制器插件已修复该漏洞，请及时将插件升级至漏洞修复版本。

已修复插件版本：2.4.14及以上版本。

相关链接

社区已经发布版本修复：https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.11.2。