关于Kubernetes ingress-nginx控制器任意代码执行漏洞(CVE-2025-1974)的安全预警

一、 基本情况

ingress-nginx控制器是Kubernetes中的一个关键组件，用于管理集群内部和外部流量的访问控制。它通过定义Ingress资源来配置HTTP和HTTPS路由，实现负载均衡、SSL终止、反向代理等功能。该控制器基于NGINX，支持灵活的流量管理策略和高可扩展性。

二、 漏洞描述

Kubernetes发布的安全公告，指出在Kubernetes中发现了一个严重的安全漏洞，该漏洞影响ingress-nginx控制器。未经身份验证的攻击者仅需访问Pod网络，便可在ingress-nginx控制器上下文中执行任意代码，进而泄露控制器可访问的Secrets。默认情况下，ingress-nginx控制器具有访问整个集群所有Secrets的权限。该漏洞的CVSS评分为9.8分，漏洞等级严重。

三、 影响范围

ingress-nginx < v1.11.0

v1.11.0 <= ingress-nginx <= 1.11.4

ingress-nginx = v1.12.0

四、 修复建议

官方已发布修复版本ingress-nginx v1.12.1和v1.11.5，建议受影响用户尽快更新。

下载链接：https://github.com/kubernetes/ingress-nginx/releases/

五、 参考链接

https://github.com/kubernetes/kubernetes/issues/131009

https://nvd.nist.gov/vuln/detail/CVE-2025-1974

https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/