Resumo
Foi divulgado um exploit crítico para o controller ingress-nginx que permite execução remota de código e leitura de Secrets do cluster Kubernetes. Equipes de plataforma e segurança devem tratar a atualização como prioritária.
Descoberta e escopo
O problema, rastreado como CVE-2026-24512, afeta controladores ingress-nginx em múltiplas versões. A vulnerabilidade reside no campo rules.http.paths.path do recurso Ingress: entrada malformada pode ser interpretada como configuração do nginx, permitindo injeção de configuração e execução de payloads arbitrários no contexto do processo do ingress controller.
Vetor e exploração
De acordo com o relatório publicado, a exploração requer apenas a criação ou modificação de um recurso Ingress com conteúdo malicioso no campo de caminho. O ataque é remoto, de baixa complexidade e não exige interação de usuário. Em instalações padrão, o controlador ingress-nginx tem acesso a Secrets em todo o cluster, o que amplia drasticamente o impacto: um invasor que execute código no pod do controller pode ler esses Secrets e escalar para cargas internas.
Impacto e alcance
- Execução remota de código (RCE) dentro do contexto do ingress-nginx.
- Exfiltração de Secrets que o controller possui permissão para acessar — potencialmente todos os Secrets do cluster em instalações default.
- Comprometimento lateral de aplicações internas que dependem desses Secrets (credenciais, tokens, certificados).
Por ser um componente de borda com exposição à carga externa (ingress), a superfície de ataque é grande em clusters que aceitam Ingresses de múltiplos times ou que não validam entradas.
Versões afetadas e correção
O advisory indica que todas as versões anteriores a v1.13.7 (uma linha de release) e anteriores a v1.14.3 (outra linha) estão vulneráveis. As versões corrigidas são v1.13.7, v1.14.3 ou posteriores. A recomendação oficial é atualizar imediatamente para uma das versões corrigidas.
Mitigações temporárias e detecção
- Se atualização imediata for inviável, implemente um validating admission controller que rejeite Ingress resources que usem o tipo de path
ImplementationSpecificou contenham padrões não esperados no camporules.http.paths.path. - Monitore logs do API server e do controller por Ingresses recém-criados/modificados com strings suspeitas no campo
pathe por atividade de leitura de Secrets fora do padrão. - Isolar o plano de controle e limitar RBAC: restrinja as permissões do ServiceAccount usado pelo ingress-nginx para minimizar escopo de acesso a Secrets quando possível.
- Auditar imagens de ingress-nginx para detectar persistência ou shells; revisar registros e conexões de rede originadas pelos pods do controller.
Evidências e limites do que se sabe
O relatório descreve a vulnerabilidade e as versões corrigidas, bem como a facilidade de exploração via Ingress. Não há indicação pública, no material analisado, de exploração generalizada em produção ou de PoC amplamente disponível além das demonstrações técnicas embutidas no advisory. Equipes devem assumir risco real dado o baixo custo de exploração e corrigir prontamente.
Implicações para operações e DevOps
Times de plataforma (kubernetes platform/DevOps) e segurança (Cloud Security/InfraSec) precisam coordenar: atualizar imagens/helm charts do ingress-nginx em ambientes de staging e produção, aplicar admission controllers que validem Ingresses e revisar RBAC para reduzir exposição a Secrets. Para clusters geridos por terceiros ou fornecedores, exija confirmação de patch e evidências de mitigação.
Checklist de resposta rápida
- Inventariar clusters que usam ingress-nginx e confirmar versão.
- Agendar e executar atualização para v1.13.7 / v1.14.3 ou superiores.
- Se não for possível atualizar imediatamente, aplicar admission controller que rejeite payloads maliciosos.
- Auditar access logs e Kubernetes audit logs por criação/alteração de Ingresses suspeitos e por leituras incomuns de Secrets.
- Rotacionar credenciais sensíveis caso haja evidência de acesso não autorizado aos Secrets.
Fonte: Cyber Security News (resumo técnico do advisory)