漏洞关键信息 漏洞编号: CVE-2026-24512 CVE ID: CVE-2026-24512 CVSS Rating: 3.1 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) 受影响组件: ingress-nginx 受影响的版本: - - 漏洞描述: - 在 中发现了一个安全问题,其中 Ingress 字段可以用于向 nginx 注入配置。 - 这可能导致在 控制器上下文中执行任意代码,以及对外部控制器可访问的秘密进行披露。 是否受影响? - 如果你的集群中没有安装 ,则不受影响。可以使用命令 进行检查。 缓解措施: - 升级 至 v1.13.7、v1.14.3 或更高版本。 - 在升级之前,可以通过使用验证的准入控制器(如 路径类型)来拒绝 Ingress 资源,从而缓解该漏洞。 如何升级: - 参考文档地址: Upgrading Ingress-nginx 检测: - Ingress 资源中的 字段中的可疑数据可能表示该漏洞的利用尝试。 发现漏洞或已利用的证据: - 请联系 相关标签: - area/security - kind/bug - committee/security-response - official-cve-feed - sig/network 相关项目: 无 里程碑: 无 关系: 无 修复 PR: kubernetes/ingress-nginx#14501