NGINX Ingress控制器验证绕过漏洞公告（CVE-2024-7646）

漏洞详情

漏洞影响

在社区ingress-nginx控制器v1.11.2之前的版本中，攻击者若具备在Kubernetes集群中创建Ingress对象（属于networking.k8s.io或extensions API 组）的权限，可能绕过注解验证并注入任意命令，从而获取ingress-nginx控制器的凭证，并访问集群中的所有敏感信息。

判断方法

若CCE集群中安装了NGINX Ingress控制器插件，且版本号在3.0.7以下，则受该漏洞影响，否则不受影响。判断方法如下：

1. 使用kubectl查找与cceaddon-nginx-ingress相关的Pod：

   kubectl get po -A | grep cceaddon-nginx-ingress

   

   若返回如上图，则代表集群中安装了NGINX Ingress控制器插件。

2. 检查NGINX Ingress控制器插件使用的nginx-ingress镜像版本：

   kubectl get deploy cceaddon-nginx-ingress-controller -nkube-system -oyaml|grep -w image

   

   如上图，若当前安装的NGINX Ingress控制器插件对应的社区nginx-ingress版本低于v1.11.2，则涉及该漏洞。

漏洞消减方案

CCE将发布新的NGINX Ingress控制器插件修复该漏洞，请留意NGINX Ingress控制器插件版本发布记录。在修复之前，请按最小权限原则，只给予受信用户创建及管理Ingress的权限。

社区已发布nginx-ingress v1.11.2版本修复该漏洞，但该版本仅支持 Kubernetes >= 1.26 ，因此若CCE集群版本低于v1.27，请先升级集群版本。

相关链接

社区已经发布版本修复：https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.11.2