【漏洞通告】Kubernetes ingress-nginx控制器任意代碼執行漏洞(CVE-2025-1974)
發布時間 2025-03-28一、漏洞概述
漏洞名稱 | Kubernetes ingress-nginx控制器任意代碼執行漏洞 | ||
CVE ID | CVE-2025-1974 | ||
漏洞類型 | 遠程代碼執行 | 發現時間 | 2025-03-28 |
漏洞評分 | 9.8 | 漏洞等級 | 嚴重 |
攻擊向量 | 網絡 | 所需權限 | 無 |
利用難度 | 低 | 用戶交互 | 不需要 |
PoC/EXP | 已公開 | 在野利用 | 未發現 |
ingress-nginx控制器是Kubernetes中的一個關鍵組件,用于管理集群內部和外部流量的訪問控制。它通過定義Ingress資源來配置HTTP和HTTPS路由,實現負載均衡、SSL終止、反向代理等功能。該控制器基于NGINX,支持靈活的流量管理策略和高可擴展性。
2025年3月28日,啟明星辰集團VSRC監測到Kubernetes發布的安全公告,指出在Kubernetes中發現了一個嚴重的安全漏洞,該漏洞影響ingress-nginx控制器。未經身份驗證的攻擊者僅需訪問Pod網絡,便可在ingress-nginx控制器上下文中執行任意代碼,進而泄露控制器可訪問的Secrets。默認情況下,ingress-nginx控制器具有訪問整個集群所有Secrets的權限。該漏洞的CVSS評分為9.8分,漏洞等級嚴重。
二、影響范圍
ingress-nginx < v1.11.0
三、安全措施
3.1 升級版本
下載鏈接:https://github.com/kubernetes/ingress-nginx/releases/