NGINX Ingress Controller の脆弱性

この脆弱性を悪用されると、攻撃者はnginx.org/rewrite-target注釈を操作し、予期せぬ書き換えルールを適用させることが可能になります。これにより、機密情報を含むリクエストが意図しない場所に転送されたり、攻撃者が内部リソースにアクセスできるようになる可能性があります。さらに、書き換えルールを悪用することで、攻撃者はシステムの設定を改ざんしたり、悪意のあるコードを実行したりするリスクも存在します。この脆弱性は、Kubernetes環境全体のセキュリティに深刻な影響を与える可能性があります。

Organizations heavily reliant on NGINX Ingress Controller for managing external access to their Kubernetes clusters are at risk. This includes those deploying complex applications with multiple backend services and those who allow users to create or modify Ingress resources without proper validation.

• kubernetes / ingress:

kubectl get ingress --all-namespaces -o yaml | grep -i rewrite-target

• kubernetes / audit: Review Kubernetes audit logs for suspicious modifications to Ingress resources, particularly those involving the nginx.org/rewrite-target annotation. • generic web: Inspect NGINX access logs for unusual request patterns or redirects that might indicate exploitation.

1. 2025-12-17Disclosure

   disclosure

1. 予約済み2025-12-15
2. 公開日2025-12-17
3. 更新日2026-02-26
4. EPSS 更新日2026-03-23

NGINX Ingress Controllerをバージョン5.3.1以上にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、nginx.org/rewrite-target注釈に許可するターゲットを厳密に制限するなどの緩和策を検討してください。また、WAF（Web Application Firewall）を導入し、不正な書き換えターゲットの注入を検知・防御することも有効です。Kubernetesのネットワークポリシーを使用して、Ingress Controllerへのアクセスを制限することも推奨されます。