Sicherheitslücke in Kubernetes Ingress-NGINX erlaubt Code-Injection

Angreifer können über Controller-Schwachstelle Kubernetes-Cluster kompromittieren

Eine neu entdeckte Schwachstelle im Kubernetes-Ingress-NGINX-Controller eröffnet Angreifern die Möglichkeit zur Ausführung beliebigen Codes und zum Zugriff auf sensible Cluster-Daten. Die unter der Kennung CVE-2026-24512 geführte Sicherheitslücke ermöglicht das Einschleusen von Konfigurationsanweisungen über den Ingress-Controller.

Technischer Hintergrund der Schwachstelle

Die Sicherheitslücke nutzt das Feld rules.http.paths.path in Ingress-Ressourcen, um Konfigurationscode in nginx einzuschleusen. Dadurch erhalten Angreifer die Möglichkeit, Code im Kontext des Controllers auszuführen und auf gespeicherte Geheimnisse zuzugreifen. In der Standardkonfiguration hat der Controller Zugriff auf sämtliche Secrets im gesamten Cluster.

Betroffene Versionen und Prüfung

Betroffen sind folgende Versionen:

• ingress-nginx < v1.13.7
• ingress-nginx < v1.14.3

Administratoren können mit dem Befehl kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx prüfen, ob ihr Cluster ingress-nginx verwendet.

Gegenmaßnahmen und Patches

Die Behebung erfordert ein Update auf Version v1.13.7, v1.14.3 oder neuer. Bis zur Installation des Patches kann ein validierender Zulassungscontroller als Übergangslösung dienen, der Ingress-Ressourcen mit dem Pfadtyp ImplementationSpecific blockiert.

Anzeichen für Exploitation

Verdächtige Einträge im Feld rules.http.paths.path von Ingress-Ressourcen können auf Angriffsversuche hindeuten. Administratoren sollten vorhandene Ingress-Objekte auf ungewöhnliche Pfadwerte mit Sonderzeichen, Escape-Sequenzen oder nginx-Direktiven untersuchen. Bei Hinweisen auf erfolgreiche Angriffe sollte security@kubernetes.io kontaktiert werden.

Projekt-Einstellung angekündigt

Die Kubernetes-Community hat parallel zur Veröffentlichung der Schwachstelle das Ende der Wartung für ingress-nginx bekanntgegeben. Ab März 2026 werden keine Sicherheitsupdates oder Bugfixes mehr bereitgestellt. Die Entscheidung folgt auf mehrere kritische Schwachstellen in 2025, darunter die IngressNightmare-Kette (CVE-2025-1974), die die Komplexität der Wartung verdeutlichten.

Handlungsempfehlungen

Organisationen mit ingress-nginx sollten zeitnah auf gepatchte Versionen aktualisieren und parallel die Migration zu alternativen Ingress-Controllern planen. Die Upgrade-Dokumentation ist in der offiziellen Ingress-nginx-Dokumentation verfügbar.

Lesen Sie mehr