Fluent Bit漏洞链：日志劫持与云环境接管风险深度解析

Fluent Bit漏洞开启日志劫持与云环境接管之门

五个关键的Fluent Bit漏洞可能让攻击者篡改日志、崩溃代理程序，或在云和Kubernetes环境中执行代码。

Fluent Bit嵌入在数十亿个容器中，为银行、AI平台、制造商和主要云提供商提供可观测性管道支持。

Oligo Security研究人员表示：“这些漏洞为攻击者创造了破坏云服务、篡改数据和深入访问云和Kubernetes基础设施的途径。”

新披露的Fluent Bit漏洞暴露了其数据摄取和处理管道中的关键弱点，为攻击者提供了操纵日志或执行代码的多种途径。

CVE-2025-12972是Fluent Bit中的路径遍历漏洞，由使用未经清理的标签值生成输出文件名引起。

当未设置File参数时，Fluent Bit从传入标签派生文件名，允许攻击者嵌入../序列并将日志写入任意文件系统位置。

通过对日志内容的局部控制，攻击者可以覆盖系统文件、植入恶意代码、篡改日志，甚至在Fluent Bit以提升权限运行的环境中实现远程代码执行。

CVE-2025-12970是Fluent Bit的Docker Metrics输入插件中的栈缓冲区溢出漏洞，由将容器名称复制到固定的256字节缓冲区而不检查其长度引起。

能够创建或影响容器名称的攻击者（通过Docker API或篡改的配置文件）可以提供超过256个字符的名称并触发溢出。

这会导致内存损坏，可能崩溃Fluent Bit代理程序或启用远程代码执行。

由于该插件通常具有对Docker套接字的访问权限，成功利用可能让攻击者控制日志代理并访问敏感日志或节点级权限。

CVE-2025-12978由Fluent Bit仅比较tag_key字段的长度（而非完整名称）引起，允许仅包含预期密钥第一个字符的有效载荷被视为匹配。

这让攻击者无需知道实际tag_key即可欺骗受信任的标签，并将其日志路由到为其他服务或租户设计的过滤器和输出。

通过控制标签值，攻击者可以绕过过滤器、注入误导性数据并破坏下游监控。任何使用tag_key与HTTP、Elasticsearch或Splunk输入的部署都会受到影响。

CVE-2025-12977发生在Fluent Bit在使用tag_key选项时未能清理来自用户控制字段的派生标签。

这些动态标签可以包含换行符、控制序列或../等字符，许多输出插件将这些字符直接嵌入文件名、日志条目或路由逻辑中。

因此，攻击者可以根据配置破坏日志、注入伪造条目、中断解析或触发路径遍历。

此漏洞通过将普通日志字段转变为注入和下游操作的载体来扩大攻击面。

CVE-2025-12969允许在配置了security.users而没有shared_key时，在Fluent Bit的in_forward输入中静默绕过身份验证。

在此设置中，Fluent Bit未能强制执行身份验证，让攻击者无需凭据即可发送日志，即使操作员认为基于用户的身份验证已启用。

这使得攻击者能够注入虚假遥测数据、篡改日志、泛滥警报和隐藏恶意活动。该漏洞在多租户或云环境中风险较高，其中转发器暴露于网络访问。

此漏洞链突显了保护负责收集和路由操作数据的工具的重要性。

解决Fluent Bit漏洞需要采用分层和主动的方法来强化日志管道。

由于这些漏洞影响路由、身份验证和文件处理，组织必须将修补与更强的环境控制相结合以降低利用风险。

保护Fluent Bit至关重要，因为受损的遥测数据会破坏每个下游检测和响应过程。

这些漏洞突显了威胁格局的更广泛转变：支持可观测性的基础设施——长期以来被视为低风险的后台管道——已成为攻击者的高价值目标。

随着组织更加依赖日志、指标和跟踪进行检测和响应，破坏遥测管道可能与破坏应用程序或数据库一样具有破坏性。

Fluent Bit位于不受信任输入和敏感操作数据的交汇处，使其路由或文件处理逻辑中的弱点特别危险。

此层的单个漏洞可能扭曲可见性、削弱取证完整性，并在安全团队最依赖遥测时使其失明。

这种可见性的侵蚀突显了现代防御必须默认假设已遭破坏的原因——这是零信任安全核心原则的核心。