关于Kubernetes ingress-nginx控制器任意代码执行漏洞(CVE-2025-1974)的安全预警
一、 基本情况
ingress-nginx控制器是Kubernetes中的一个关键组件,用于管理集群内部和外部流量的访问控制。它通过定义Ingress资源来配置HTTP和HTTPS路由,实现负载均衡、SSL终止、反向代理等功能。该控制器基于NGINX,支持灵活的流量管理策略和高可扩展性。
二、 漏洞描述
Kubernetes发布的安全公告,指出在Kubernetes中发现了一个严重的安全漏洞,该漏洞影响ingress-nginx控制器。未经身份验证的攻击者仅需访问Pod网络,便可在ingress-nginx控制器上下文中执行任意代码,进而泄露控制器可访问的Secrets。默认情况下,ingress-nginx控制器具有访问整个集群所有Secrets的权限。该漏洞的CVSS评分为9.8分,漏洞等级严重。
三、 影响范围
ingress-nginx < v1.11.0
v1.11.0 <= ingress-nginx <= 1.11.4
ingress-nginx = v1.12.0
四、 修复建议
官方已发布修复版本ingress-nginx v1.12.1和v1.11.5,建议受影响用户尽快更新。
下载链接:https://github.com/kubernetes/ingress-nginx/releases/
五、 参考链接
https://github.com/kubernetes/kubernetes/issues/131009
https://nvd.nist.gov/vuln/detail/CVE-2025-1974
https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/