ingress-nginxに深刻な脆弱性 Nginx構成注入によるコード実行の危険:セキュリティニュースアラート
Kubernetesのingress-nginxに、Nginxへの構成注入を許す脆弱性が公表された。特定のアノテーション操作でコード実行や機密情報が漏えいする可能性がある。CVSSのスコアは8.8で、修正版への迅速な更新が推奨される。
Kubernetesは2026年3月19日(現地時間)、「Kubernetes」環境用のロードバランサー「ingress-nginx」で脆弱(ぜいじゃく)性「CVE-2026-4342」を公表した。悪用された場合、「Nginx」に不正な構成を注入でき、コントローラーでのコード実行や機密情報漏えいが生じる可能性がある。
アノテーション操作によるNginxへの構成注入 有効な対策は?
この問題は、「Ingressアノテーション」の特定の組み合わせに起因する。細工された設定が投入されると、内部のNginxの構成に不正な内容が書き込まれる仕組みとなっており、結果としてコントローラーの権限下で任意のコードが実行される恐れがある。同コンポーネントは既定構成でクラスタ全体の「Kubernetes Secret」(機密情報)にアクセス可能な場合が多く、この漏えいにもつながる危険性がある。
CVE-2026-4342は共通脆弱性評価システム(CVSS)v3.1でスコア8.8、深刻度「重要」(High)と評価されている。影響範囲はingress-nginxを導入している環境に限定される。対象バージョンはv1.13.9未満、v1.14.5未満、v1.15.1未満であり、該当する場合は早急な確認が求められる。利用の有無は、指定ラベルでPodを一覧取得するコマンドによって判別できる。
対策としては、ingress-nginxを修正済みバージョンに更新することが有効とされる。系統別にv1.13.9、v1.14.5、v1.15.1が修正版として提供されており、公式手順に従った適用が必要だ。既存のIngressリソースに不審な設定が含まれていないかどうかの点検も重要となる。特に「rules.http.paths.path」フィールドに異常な値がある場合、悪用の兆候である可能性がある。
今回の欠陥は、クラウドネイティブ環境で広く採用されるIngressコンポーネントに関係する点で影響が大きい。Ingressは外部通信の入口として機能するため、侵害が成立した場合の影響範囲も広がりやすい構造にある。影響を受けるユーザーは速やかな更新が推奨されている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
知らない番号でも一瞬で正体判明? 警察庁推奨アプリの実力を検証
警察庁が“推奨”する特殊詐欺対策アプリが、無料で使えるようになりました。電話を取る前に危険な番号を判定し、ブロックできます。というわけで筆者も実際に試してみたのですが、詐欺対策とは別の「意外な使い道」も見えてきました。
監査対策のはずが現場崩壊? 情シスがハマるツール導入のわな
評判や監査対応に背中を押され、最新ツールを導入したはずなのに、なぜ現場は楽にならないのでしょうか。止まる運用、鳴り続けるアラート、形骸化するポリシー――。情シスが陥りがちな“再現性の高い失敗”から、ツール選定の穴をあぶり出します。
その事例、本当に出して大丈夫? “対策を見せたい欲”が招く逆効果
「隣の芝生は青い」ではないですが、他社のセキュリティの取り組みは、やけに良く見えるもの。これをマネして情報を発信するのは素晴らしいですが、伝え方を間違えるとその情報が攻撃のヒントになるかもしれません。今回は羨望と承認欲求が生むリスクを解説します。
★4を目指すのは正解か? SCS評価制度が企業に突き付ける“本当の論点”
2026年度末の本格運用に向けて議論が進む「サプライチェーン強化に向けたセキュリティ対策評価制度」。ただ、この本質は“星の数”ではありません。制度全体を俯瞰し、取引関係や成熟度、外部支援――制度設計に込められたメッセージを読み解きます。