Обнаружены четыре уязвимости безопасности в Ingress NGINX для Kubernetes. Две из них серьезны (CVSS 8.8), включая CVE-2026-1580 (некорректная валидация ввода) и CVE-2026-24512 (внедрение конфигурации). Уязвимости затрагивают старые версии и требуют обновления. Поддержка Ingress NGINX прекращается в марте. — csoonline.com
Обнаружены четыре уязвимости безопасности в контроллере трафика с открытым исходным кодом Ingress NGINX, который широко используется организациями в развертываниях Kubernetes.
Исправить их можно только обновлением до последней версии.
Из четырех уязвимостей две являются более серьезными, поскольку имеют оценку CVSS 8,8:
CVE-2026-1580 — проблема некорректной валидации ввода. Если контроллер Ingress NGINX настроен с использованием конфигурации custom-errors по умолчанию, включающей HTTP-ошибки 401 или 403, и если настроенный бэкенд custom-errors по умолчанию не обрабатывает заголовок HTTP X-Code, то доступ к Ingress с аннотацией auth-url может быть получен даже при неудачной аутентификации.
CVE-2026-24512 — уязвимость внедрения конфигурации, где поле rules.http.paths.path в Ingress может быть использовано для внедрения конфигурации в nginx. Это может привести к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру.
«Это серьезная уязвимость, — прокомментировал Келлман Мегу, технический директор канадской компании DeepCove Cybersecurity, имеющий опыт работы с Ingress NGINX. — Если бы я смог ее использовать, я бы заставил Ingress gateway создать путь напрямую к внутренним ресурсам. Это как открыть то, что никогда не должно быть раскрыто. Приведет ли это к дальнейшему раскрытию или взломам? Вероятно, но с точки зрения воздействия это первый шаг к получению доступа к среде, и оттуда это может зайти дальше, вплоть до нарушения работы служб».
NGINX — это обратный прокси/балансировщик нагрузки, который обычно действует как приемник входящего веб-трафика и направляет его в службу приложений для обработки данных. Ingress NGINX — это версия, используемая в Kubernetes в качестве контроллера для входящего трафика в инфраструктуру. Он отвечает за сопоставление трафика с подами контейнеров, выполняющих задачи, не раскрывая сами поды. Мегу говорит, что Ingress NGINX является основной точкой входа трафика и эффективен благодаря своей способности перезагружать конфигурацию «на лету», что позволяет ему адаптироваться к изменениям внутри кластера Kubernetes.
Эти уязвимости затрагивают только версии Ingress NGINX 1.13.7 и ниже, а также 1.14.3 и ниже, если они установлены в кластере Kubernetes.
Предупреждение появляется всего через несколько недель после того, как на KubeCon в ноябре было объявлено, что поддержка Ingress NGINX прекращается. Начиная с марта, проект больше не будет получать активное обслуживание, исправления безопасности или исправления ошибок.
Эксперты с тех пор призывают администраторов Kubernetes перейти на новый контроллер. Они рекомендуют Kubernetes Gateway API в качестве стандарта для управления трафиком. Мегу отмечает, что он нейтрален по отношению к поставщикам и широко используется. Другие варианты включают контроллеры, такие как Cilium Ingress, Traefik или HAProxy Ingress.
Помимо CVE-2026-24512, другие новые уязвимости — это CVE-2026-24513, которую Мегу считает низкорисковой, поскольку злоумышленнику для эксплуатации требуется конфигурация с определенными ошибками, и CVE-2026-24514, которую Мегу считает среднерисковой. Контроллер может подвергнуться атаке типа «отказ в обслуживании», если злоумышленник перегрузит его запросами.
Это лишь последние проблемы с Ingress NGINX. Чуть более года назад исследователи из Wiz обнаружили группу уязвимостей, названных IngressNightmare. Они могут позволить неаутентифицированным пользователям внедрять вредоносные конфигурации NGINX и выполнять вредоносный код в поде Ingress NGINX, потенциально раскрывая все секреты кластера и приводя к его захвату.
Сатнам Наранг, старший научный сотрудник Tenable, сообщил CSO, что считает новые уязвимости менее опасными, чем IngressNightmare, которую он назвал «токсичным сочетанием», способным привести к захвату кластера.
«Хотя в [новых уязвимостях] нет ничего нового, они служат суровым напоминанием всем администраторам о том, что если они еще не начали миграцию, им нужно начать немедленно, до того, как Ingres NGINX будет выведен из эксплуатации в следующем месяце. Учитывая его предстоящий вывод из эксплуатации, миграция является лучшей стратегией для смягчения этих уязвимостей».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon