HIGHCVE-2026-24470CVSS 8.1

Skipper Ingress Controller は、github.com/zalando/skipper 内の ExternalName を介して内部サービスへの不正アクセスを許可する

Q: CVE-2026-24470 — 不正アクセス in Skipper Ingress Controllerとは何ですか？

CVE-2026-24470は、Skipper Ingress ControllerにおけるExternalName経由での内部サービスへの不正アクセスを許容する脆弱性です。攻撃者はこれを利用して内部ネットワークに侵入する可能性があります。

Q: CVE-2026-24470 in Skipper Ingress Controllerに影響はありますか？

Skipper Ingress Controllerのバージョンが0.24.0より前である場合、影響を受けます。バージョンを確認し、必要に応じてアップグレードしてください。

Q: CVE-2026-24470 in Skipper Ingress Controllerを修正するにはどうすればよいですか？

Skipper Ingress Controllerを0.24.0以降のバージョンにアップグレードしてください。アップグレードが困難な場合は、ExternalNameの設定を慎重に確認し、アクセス制御を強化してください。

Q: CVE-2026-24470は積極的に悪用されていますか？

現時点では公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。

Q: CVE-2026-24470に関する公式のSkipper Ingress Controllerのアドバイザリはどこで入手できますか？

Skipper Ingress Controllerの公式アドバイザリは、GitHubリポジトリのリリースノートで確認できます。

プラットフォーム

コンポーネント

github.com/zalando/skipper

修正版

0.24.1

0.24.0

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Skipper Ingress Controllerにおいて、ExternalNameの設定を介して内部サービスへの不正アクセスを許容する脆弱性が発見されました。この脆弱性は、攻撃者が内部ネットワークに侵入し、機密情報にアクセスしたり、悪意のあるコードを実行したりする可能性があります。影響を受けるバージョンは0.24.0より前のバージョンであり、0.24.0へのアップグレードで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はExternalNameを利用して内部サービスに不正にアクセスし、機密情報（APIキー、データベースクレデンシャルなど）を窃取したり、サービスを改ざんしたりする可能性があります。特に、ExternalNameが外部に公開されている場合、攻撃者は容易に内部ネットワークに侵入できるリスクがあります。この脆弱性は、Kubernetes環境全体に影響を及ぼす可能性があり、広範囲な被害をもたらす可能性があります。

悪用の状況

この脆弱性は、2026年2月2日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVリストへの登録状況は不明です。攻撃者は、ExternalNameの設定ミスを悪用し、内部ネットワークへの侵入を試みる可能性があります。

リスク対象者翻訳中…

Organizations deploying Skipper Ingress Controller in Kubernetes environments, particularly those relying on ExternalName configurations for service discovery, are at risk. Environments with less stringent Kubernetes access controls or those using shared Kubernetes clusters are especially vulnerable.

検出手順翻訳中…

• linux / server:

journalctl -u skipper-ingress-controller -g 'ExternalName' | grep -i error

• generic web:

curl -I <skipper-ingress-controller-url>/ -H 'Host: malicious.example.com'

Check for unexpected responses or redirects. • go: Inspect Skipper Ingress Controller source code for improper ExternalName validation logic.

攻撃タイムライン

2026-02-02Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.03% (9% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgithub.com/zalando/skipper

ベンダーosv

影響範囲修正版

< 0.24.0 – < 0.24.00.24.1

—0.24.0

弱点分類 (CWE)

CWE-441 CWE-918

タイムライン

予約済み2026-01-23
公開日2026-02-02
更新日2026-03-03
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、まずSkipper Ingress Controllerを0.24.0以降のバージョンにアップグレードすることを推奨します。アップグレードが困難な場合は、ExternalNameの設定を慎重に確認し、不要なExternalNameを削除するか、アクセス制御を強化するなどの対策を講じてください。また、WAF（Web Application Firewall）を導入し、不正なアクセスを検知・遮断することも有効です。Skipper Ingress Controllerのアップグレード後、設定ファイルを確認し、ExternalNameの設定が適切に行われていることを確認してください。

修正方法

Skipper をバージョン 0.24.0 以降にアップデートしてください。代替案として、ExternalName デスティネーションの許可リストを設定し、正規表現による許可リストを有効にして、内部サービスへの不正アクセスリスクを軽減してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-24470 — 不正アクセス in Skipper Ingress Controllerとは何ですか？