首页 > 安全研究 > 安全通报 > 安全通告

【漏洞通告】Kubernetes ingress-nginx控制器任意代码执行漏洞(CVE-2025-1974)

发布时间 2025-03-28

一、漏洞概述


漏洞名称

Kubernetes ingress-nginx控制器任意代码执行漏洞

CVE   ID

CVE-2025-1974

漏洞类型

远程代码执行

发现时间

2025-03-28

漏洞评分

9.8

漏洞等级

严重

攻击向量

网络

所需权限

利用难度

用户交互

不需要

PoC/EXP

已公开

在野利用

未发现


ingress-nginx控制器是Kubernetes中的一个关键组件,用于管理集群内部和外部流量的访问控制。它通过定义Ingress资源来配置HTTP和HTTPS路由,实现负载均衡、SSL终止、反向代理等功能。该控制器基于NGINX,支持灵活的流量管理策略和高可扩展性。


2025年3月28日,启明星辰集团VSRC监测到Kubernetes发布的安全公告,指出在Kubernetes中发现了一个严重的安全漏洞,该漏洞影响ingress-nginx控制器。未经身份验证的攻击者仅需访问Pod网络,便可在ingress-nginx控制器上下文中执行任意代码,进而泄露控制器可访问的Secrets。默认情况下,ingress-nginx控制器具有访问整个集群所有Secrets的权限。该漏洞的CVSS评分为9.8分,漏洞等级严重。


二、影响范围


ingress-nginx < v1.11.0

v1.11.0 <= ingress-nginx <= 1.11.4
ingress-nginx = v1.12.0


三、安全措施


3.1 升级版本


官方已发布修复版本ingress-nginx v1.12.1和v1.11.5,建议受影响用户尽快更新。


下载链接:https://github.com/kubernetes/ingress-nginx/releases/


3.2 临时措施


• 可以通过禁用ingress-nginx的Validating Admission Controller功能来显著降低风险。
• 如果使用Helm安装ingress-nginx:重新安装,并设置Helm值controller.admissionWebhooks.enabled=false。
• 如果手动安装ingress-nginx:删除名为ingress-nginx-admission的ValidatingWebhookConfiguration。编辑ingress-nginx-controller的Deployment或DaemonSet,移除控制器容器参数列表中的--validating-webhook。


3.3 通用建议


• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
• 使用企业级安全产品,提升企业的网络安全性能。
• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
• 启用强密码策略并设置为定期修改。


3.4 参考链接


https://github.com/kubernetes/kubernetes/issues/131009
https://nvd.nist.gov/vuln/detail/CVE-2025-1974
https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/
上一篇 下一篇