在Kubernetes部署中被组织平日使用的开源Ingress NGINX流量放胆器中发现了四个安全裂缝。

这些裂缝只可通过升级到最新版蓝本迷惑。

在这四个裂缝中，有两个更为严重，因为它们的CVSS评分高达8.8：

CVE-2026-1580是一个欠妥输入考据问题。若是Ingress NGINX放胆器建立了包含HTTP不实401或403的默许自界说不实建立，而且建立的默许自界说不实后端存在残障且无法效力X-Code HTTP标头，那么即使身份考据失败，带有auth-url驻守的Ingress也可能被探访。

CVE-2026-24512是一个建立注入裂缝，其中rules.http.paths.path Ingress字段可用于向nginx注入建立。这可能导致在ingress-nginx放胆器的高下文中现实放纵代码，并清晰放胆器可探访的玄妙信息。

加拿大DeepCove蚁合安全公司首席时刻官Kellman Meghu评呈报："这是一个严重的裂缝。若是我有时诓骗它，我不错让Ingress网关创建一个胜利通往里面资源的旅途。这就像掀开了永远不应该解析的里面结构。这会导致进一步的解析或转折吗？很可能，但就影响而言，这是取得环境探访权限的第一步，从那处可能会进一步发展，最少也会形成就业中断。"

NGINX是一个反向代理/负载平衡器，时常充面前端蚁合流量领受器，并将其涵养到应用就业进行数据调度。Ingress NGINX是在Kubernetes顶用作放胆插足基础治安流量的放胆器版块。它认真将流量映射到运行功课的容器pod，幸运飞艇app而不解析pod自己。Meghu默示，Ingress NGINX是主要的流量进口点，由于其有时即时再行加载建立的才略而特别有用，使其有时相宜Kubernetes集群里面的变化。

这些裂缝仅影响装配在Kubernetes集群上的Ingress NGINX版块1.13.7及以下，以及1.14.3及以下。

这一劝诫发出的几周前，正如11月在KubeCon上告示的那样，Ingress NGINX的救助行将已毕。从3月启动，九游该技俩将不再接受主动防范、安全补丁或不实迷惑。

从当时起，民众们一直敦促Kubernetes科罚员转向新的放胆器。他们推选Kubernetes Gateway API算作流量科罚的圭臬。Meghu指出它是厂商中立的且被平日使用。其他选拔包括Cilium Ingress、Traefik或HAProxy Ingress等放胆器。

除了CVE-2026-24512外，其他新裂缝还包括CVE-2026-24513（Meghu合计风险较低，因为转折者需治安有包含特定不实的建立才智诓骗）和CVE-2026-24514（Meghu合计是中等风险）。若是转折者用无数央求压垮放胆器，放胆器可能会际遇拒却就业转折。

这些仅仅Ingress NGINX最近的问题。一年多前，Wiz的辩论东说念主员发现了一组被称为IngressNightmare的裂缝。这些裂缝不错允许未经身份考据的用户注入坏心NGINX建立并在Ingress NGINX pod中现实坏心代码，可能解析所有集群玄妙并导致集群接纳。

Tenable高等辩论工程师Satnam Narang告诉CSO，他合计新裂缝不如IngressNightmare令东说念主担忧，后者被他称为可能导致集群接纳的"毒性组合"。

"固然这些新裂缝莫得什么新颖之处，但它们严厉辅导所有科罚员，若是还莫得启动迁徙，他们需要立即启动，不才个月Ingress NGINX退役之前。鉴于其行将退役，迁徙是缓解这些裂缝的最好计谋。"

Q&A

Q1：Ingress NGINX是什么？有什么作用？

A：Ingress NGINX是在Kubernetes顶用作放胆插足基础治安流量的放胆器版块。它认真将流量映射到运行功课的容器pod，而不解析pod自己，是主要的流量进口点，有时即时再行加载建立以相宜Kubernetes集群里面的变化。

Q2：CVE-2026-24512裂缝有多严重？

A：这是一个CVSS评分8.8的严重建立注入裂缝。转折者不错诓骗rules.http.paths.path字段向nginx注入建立，导致放纵代码现实并清晰放胆器可探访的玄妙信息，以至创建胜利通往里面资源的旅途。

Q3：若何应付Ingress NGINX的安全问题？

A：由于Ingress NGINX将在3月罢手防范，民众提议立即迁徙到新放胆器。推选使用Kubernetes Gateway API算作流量科罚圭臬，或选拔Cilium Ingress、Traefik、HAProxy Ingress等替代决议。