Fluent Bit漏洞为日志劫持和云端接管敞开大门

Fluent Bit中五个关键漏洞可能让攻击者篡改日志、使代理崩溃，或在云和Kubernetes环境中执行代码。

Fluent Bit内嵌于数十亿容器中，为银行、AI平台、制造商和主要云提供商提供可观测性管道支持。

“这些漏洞为攻击者破坏云服务、篡改数据以及更深地渗透到云和Kubernetes基础设施开辟了途径，”Oligo Security的研究人员表示。

解析Fluent Bit的CVE漏洞

最新披露的Fluent Bit漏洞暴露了其日志摄取和处理管道中的关键弱点，为攻击者操控日志或执行代码提供了多种途径。

CVE-2025-12972是Fluent Bit中的一个路径遍历漏洞，由未经验证的标签值被用于生成输出文件名引起。

当未设置File参数时，Fluent Bit会根据传入的标签推导文件名，这使得攻击者可以嵌入../序列并将日志写入文件系统的任意位置。

通过部分控制日志内容，攻击者可以覆盖系统文件、植入恶意代码、篡改日志，甚至在Fluent Bit以提升权限运行的环境中实现远程代码执行。

CVE-2025-12970是Fluent Bit的Docker Metrics输入插件中的一个栈缓冲区溢出漏洞，由将容器名称复制到固定大小的256字节缓冲区而未检查其长度引起。

能够创建或影响容器名称的攻击者（通过Docker API或被篡改的配置文件）可以提供一个长度超过256字符的名称，从而触发溢出。

这会导致内存损坏，可能使Fluent Bit代理崩溃或实现远程代码执行。

由于该插件通常可以访问Docker socket，成功利用此漏洞可能使攻击者控制日志代理，并获得敏感日志或节点级权限。

CVE-2025-12978是由于Fluent Bit仅比较tag_key字段的长度而非完整名称引起的，这使得仅包含预期密钥首字符的负载也会被视作匹配。

这使得攻击者可以在不知道实际tag_key的情况下伪造可信标签，并将其日志路由到专为其他服务或租户设计的过滤器和输出中。

通过控制标签值，攻击者可以绕过过滤器、注入误导性数据，并扰乱下游监控。任何使用tag_key配合HTTP、Elasticsearch或Splunk输入的部署都会受到影响。

CVE-2025-12977的发生是因为Fluent Bit在使用tag_key选项时，未能对源自用户可控字段的动态标签进行净化处理。

这些动态标签可能包含换行符、控制序列或../等字符，而许多输出插件会将这些字符直接嵌入文件名、日志条目或路由逻辑中。

因此，攻击者可以根据配置来破坏日志、注入伪造条目、中断解析或触发路径遍历。

此漏洞将普通的日志字段变成了用于注入和下游操控的攻击媒介，从而扩大了攻击面。

CVE-2025-12969允许在配置了security.users但未配置shared_key的情况下，静默绕过Fluent Bit in_forward输入的认证。

在此设置中，Fluent Bit未能强制执行身份验证，即使操作员认为已启用基于用户的身份验证，攻击者仍可以在不提供凭据的情况下发送日志。

这使得攻击者能够注入虚假遥测数据、篡改日志、淹没警报并隐藏恶意活动。在暴露转发器于网络访问的多租户或云环境中，此漏洞风险很高。

这一系列漏洞突显了保护负责收集和路由操作数据的工具的重要性。

应对Fluent Bit漏洞需要采取分层次、主动性的方法来强化日志管道。由于这些漏洞影响路由、身份验证和文件处理，组织必须结合补丁和更严格的环境控制来降低利用风险。

保护Fluent Bit至关重要，因为受损的遥测数据会破坏所有下游的检测和响应流程。

这些漏洞突显了威胁态势中一个更广泛的转变：为可观测性提供动力的基础设施——长期以来被视为低风险、幕后的管道——已成为攻击者的高价值目标。随着组织越来越依赖日志、指标和跟踪进行检测和响应，破坏遥测管道可能与破坏应用程序或数据库一样具有破坏性。

Fluent Bit位于不受信任的输入和敏感操作数据的交汇处，这使得其路由或文件处理逻辑中的弱点尤其危险。此层的单一缺陷就可能扭曲可见性、削弱取证完整性，并在安全团队最需要遥测数据的那一刻使其“失明”。

这种可见性的侵蚀突显了为什么现代防御必须默认假设已存在威胁——这是零信任安全核心原则的核心所在。