ingress-nginxに深刻な脆弱性 Nginx構成注入によるコード実行の危険：セキュリティニュースアラート

Kubernetesのingress-nginxに、Nginxへの構成注入を許す脆弱性が公表された。特定のアノテーション操作でコード実行や機密情報が漏えいする可能性がある。CVSSのスコアは8.8で、修正版への迅速な更新が推奨される。

[ITmedia エンタープライズ編集部，ITmedia]

　Kubernetesは2026年3月19日（現地時間）、「Kubernetes」環境用のロードバランサー「ingress-nginx」で脆弱（ぜいじゃく）性「CVE-2026-4342」を公表した。悪用された場合、「Nginx」に不正な構成を注入でき、コントローラーでのコード実行や機密情報漏えいが生じる可能性がある。

アノテーション操作によるNginxへの構成注入　有効な対策は？

　この問題は、「Ingressアノテーション」の特定の組み合わせに起因する。細工された設定が投入されると、内部のNginxの構成に不正な内容が書き込まれる仕組みとなっており、結果としてコントローラーの権限下で任意のコードが実行される恐れがある。同コンポーネントは既定構成でクラスタ全体の「Kubernetes Secret」（機密情報）にアクセス可能な場合が多く、この漏えいにもつながる危険性がある。

　CVE-2026-4342は共通脆弱性評価システム（CVSS）v3.1でスコア8.8、深刻度「重要」（High）と評価されている。影響範囲はingress-nginxを導入している環境に限定される。対象バージョンはv1.13.9未満、v1.14.5未満、v1.15.1未満であり、該当する場合は早急な確認が求められる。利用の有無は、指定ラベルでPodを一覧取得するコマンドによって判別できる。

　対策としては、ingress-nginxを修正済みバージョンに更新することが有効とされる。系統別にv1.13.9、v1.14.5、v1.15.1が修正版として提供されており、公式手順に従った適用が必要だ。既存のIngressリソースに不審な設定が含まれていないかどうかの点検も重要となる。特に「rules.http.paths.path」フィールドに異常な値がある場合、悪用の兆候である可能性がある。

　今回の欠陥は、クラウドネイティブ環境で広く採用されるIngressコンポーネントに関係する点で影響が大きい。Ingressは外部通信の入口として機能するため、侵害が成立した場合の影響範囲も広がりやすい構造にある。影響を受けるユーザーは速やかな更新が推奨されている。