| Title | Project ContourのContourにおけるコードインジェクションの脆弱性 |
|---|---|
| Summary | ContourはEnvoyプロキシを使用するKubernetesのイングレスコントローラーです。v1.19.0からv1.33.4、v1.32.5、およびv1.31.6の前のバージョンにおいて、ContourのCookie書き換え機能にLuaコードインジェクションの脆弱性があります。HTTPProxyリソースの作成または変更のRBAC権限を持つ攻撃者は、spec.routes[].cookieRewritePolicies[].pathRewrite.valueまたはspec.routes[].services[].cookieRewritePolicies[].pathRewrite.valueに悪意のある値を作成し、Envoyプロキシで任意のコードを実行させる可能性があります。Cookie書き換え機能は内部的にEnvoyのHTTP Luaフィルターを使用して実装されており、ユーザー制御の値がGoのtext/templateを用いてLuaソースコードに補完される際に十分なサニタイズが行われていません。注入されたコードは攻撃者自身が制御するルートのトラフィック処理時にのみ実行されますが、Envoyは共有インフラとして動作しているため、注入されたコードがEnvoyのxDSクライアント認証情報をファイルシステムから読み取ったり、他のテナントのEnvoyインスタンス共有に対してサービス拒否を引き起こしたりする可能性があります。この脆弱性はv1.33.4、v1.32.5、およびv1.31.6で修正されています。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 23, 2026, midnight |
| Registration Date | April 30, 2026, 11:01 a.m. |
| Last Update | April 30, 2026, 11:01 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H |
| Project Contour |
| Contour 1.19.0 以上 1.31.6 未満 |
| Contour 1.32.0 以上 1.32.5 未満 |
| Contour 1.33.0 以上 1.33.4 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
April 30, 2026, 11:01 a.m. |
| Summary | Contour is a Kubernetes ingress controller using Envoy proxy. From v1.19.0 to before v1.33.4, v1.32.5, and v1.31.6, Contour's Cookie Rewriting feature is vulnerable to Lua code injection. An attacker with RBAC permissions to create or modify HTTPProxy resources can craft a malicious value in spec.routes[].cookieRewritePolicies[].pathRewrite.value or spec.routes[].services[].cookieRewritePolicies[].pathRewrite.value that results in arbitrary code execution in the Envoy proxy. The cookie rewriting feature is internally implemented using Envoy's HTTP Lua filter. User-controlled values are interpolated into Lua source code using Go text/template without sufficient sanitization. The injected code only executes when processing traffic on the attacker's own route, which they already control. However, since Envoy runs as shared infrastructure, the injected code can also read Envoy's xDS client credentials from the filesystem or cause denial of service for other tenants sharing the Envoy instance. This vulnerability is fixed in v1.33.4, v1.32.5, and v1.31.6. |
|---|---|
| Publication Date | April 24, 2026, 4:17 a.m. |
| Registration Date | April 25, 2026, 4:06 a.m. |
| Last Update | April 29, 2026, 4:04 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:projectcontour:contour:*:*:*:*:*:kubernetes:*:* | 1.19.0 | 1.31.6 | |||
| cpe:2.3:a:projectcontour:contour:*:*:*:*:*:kubernetes:*:* | 1.32.0 | 1.32.5 | |||
| cpe:2.3:a:projectcontour:contour:*:*:*:*:*:kubernetes:*:* | 1.33.0 | 1.33.4 | |||