开源容器平台Kubernetes项目在2月第一周发布安全更新，修补Ingress-nginx Controller一项高危安全漏洞CVE-2026-24512。该漏洞CVSS v3.1风险评分为8.8分，属于高危（High）等级。在特定部署条件下，具备创建或修改Ingress资源权限的用户，可通过不当设置内容注入nginx配置，进而在控制器的运行上下文中触发远程代码执行（RCE），影响集群内部安全。

Ingress-nginx Controller是Kubernetes环境中常见的Ingress控制器，负责根据Ingress资源内容生成并应用nginx配置，将外部HTTP与HTTPS流量转发至集群内部服务。Kubernetes维护团队在GitHub披露的安全问题指出，该漏洞源于Ingress规则中rules.http.paths.path字段的输入验证不足。当路径类型使用ImplementationSpecific时，攻击者可在path字段中插入恶意内容，最终被写入nginx配置文件，造成配置注入。

Kubernetes项目说明，漏洞一旦被成功利用，攻击者可在Ingress-nginx Controller的运行环境中执行任意代码。由于许多部署场景下，该控制器具备读取整个集群所有Secrets的权限，影响范围不仅限于流量转发异常，还可能波及证书或其他敏感信息。

在攻击条件方面，该漏洞无需获取集群管理权限，只要具备创建或修改Ingress资源的权限即可触发，属于低权限即可利用的漏洞类型。对于多租户或由不同团队共享的Kubernetes集群中，Ingress设置往往是权限边界较为复杂的一环，也因此成为较易被忽视的攻击切入点。

目前Kubernetes项目尚未披露该漏洞已出现大规模实际滥用的证据，但提醒管理员可留意Ingress资源中path字段是否出现异常内容，作为可能的攻击尝试观察指标。

针对此一风险，Kubernetes维护团队已在Ingress-nginx v1.13.7与v1.14.3版本中完成修复，并建议所有使用Ingress-nginx Controller的集群尽快升级，以降低被利用的风险。若短期内无法完成升级，项目团队也提出临时缓解措施，建议用户通过Validating Admission Controller阻止ImplementationSpecific路径类型的Ingress资源访问，避免恶意内容被写入nginx配置。

从此次事件来看，Ingress相关组件因位于集群对外流量入口，一旦配置处理或验证逻辑存在缺陷，往往容易成为攻击者切入集群的起点。对已在生产环境部署Kubernetes的组织而言，除了及时应用项目安全更新，也应同步检查Ingress资源的权限配置与审核机制，降低配置被滥用所带来整体风险。