【漏洞通告】Kubernetes ingress-nginx控制器任意代碼執行漏洞(CVE-2025-1974)

發布時間 2025-03-28

一、漏洞概述


漏洞名稱

Kubernetes ingress-nginx控制器任意代碼執行漏洞

CVE   ID

CVE-2025-1974

漏洞類型

遠程代碼執行

發現時間

2025-03-28

漏洞評分

9.8

漏洞等級

嚴重

攻擊向量

網絡

所需權限

利用難度

用戶交互

不需要

PoC/EXP

已公開

在野利用

未發現


ingress-nginx控制器是Kubernetes中的一個關鍵組件,用于管理集群內部和外部流量的訪問控制。它通過定義Ingress資源來配置HTTP和HTTPS路由,實現負載均衡、SSL終止、反向代理等功能。該控制器基于NGINX,支持靈活的流量管理策略和高可擴展性。


2025年3月28日,啟明星辰集團VSRC監測到Kubernetes發布的安全公告,指出在Kubernetes中發現了一個嚴重的安全漏洞,該漏洞影響ingress-nginx控制器。未經身份驗證的攻擊者僅需訪問Pod網絡,便可在ingress-nginx控制器上下文中執行任意代碼,進而泄露控制器可訪問的Secrets。默認情況下,ingress-nginx控制器具有訪問整個集群所有Secrets的權限。該漏洞的CVSS評分為9.8分,漏洞等級嚴重。


二、影響范圍


ingress-nginx < v1.11.0

v1.11.0 <= ingress-nginx <= 1.11.4
ingress-nginx = v1.12.0


三、安全措施


3.1 升級版本


官方已發布修復版本ingress-nginx v1.12.1和v1.11.5,建議受影響用戶盡快更新。


下載鏈接:https://github.com/kubernetes/ingress-nginx/releases/


3.2 臨時措施


? 可以通過禁用ingress-nginx的Validating Admission Controller功能來顯著降低風險。
如果使用Helm安裝ingress-nginx:重新安裝,并設置Helm值controller.admissionWebhooks.enabled=false。
如果手動安裝ingress-nginx:刪除名為ingress-nginx-admission的ValidatingWebhookConfiguration。編輯ingress-nginx-controller的Deployment或DaemonSet,移除控制器容器參數列表中的--validating-webhook。


3.3 通用建議


定期更新系統補丁,減少系統漏洞,提升服務器的安全性。
加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網絡安全性能。
加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
啟用強密碼策略并設置為定期修改。


3.4 參考鏈接


https://github.com/kubernetes/kubernetes/issues/131009
https://nvd.nist.gov/vuln/detail/CVE-2025-1974
https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/