0x00 漏洞编号

• CVE-2023-5044

0x01 危险等级

• 高危
  

0x02 漏洞概述

Ingress-nginx 是一个Kubernetes的Ingress控制器，使用NGINX作为反向代理和负载均衡器。

0x03 漏洞详情

CVE-2023-5044

漏洞类型：代码注入

影响：注入任意命令

简述：Ingress-nginx在1.9.0版本之前存在代码注入漏洞，其中Ingress对象在nginx.ingress.kubernetes.io/permanent-redirect注释可能会被修改，被用于注入任意命令，并获取ingress-nginx控制器的凭证。

0x04 影响版本

• 1.2.0 <= Ingress-nginx < 1.9.0

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://github.com/kubernetes/ingress-nginx

原文始发于微信公众号（浅安安全）：漏洞预警 | Ingress-nginx代码注入漏洞