Kubernetes ingress-nginx 控制器高危漏洞 CVE-2025-1098:配置注入风险解析

本文详细解析了CVE-2025-1098漏洞,该漏洞存在于ingress-nginx控制器中,攻击者可通过未经净化的mirror-target和mirror-host注解注入任意配置,导致在控制器上下文中执行任意代码或泄露集群范围内的Secret。

漏洞概述

CVE ID: CVE-2025-1098 CVSS评分: 8.8(高危) 漏洞载体: Kubernetes ingress-nginx 控制器

漏洞描述

在 ingress-nginx 中发现了一个安全漏洞。攻击者可以利用 Ingress 资源中的 mirror-targetmirror-host 注解,向 nginx 配置中注入任意内容。这可能导致在 ingress-nginx 控制器的上下文中执行任意代码,并泄露控制器可访问的 Secret(请注意,在默认安装中,控制器可以访问集群范围内的所有 Secret)。

受影响版本

  • v1.11.0 之前的版本
  • v1.11.0 至 1.11.4
  • v1.12.0

如何判断是否受影响?

如果您在集群中没有安装 ingress-nginx,则不受影响。可以通过运行以下命令进行检查: kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

修复方案

必须采取以下步骤来缓解此漏洞: 将 ingress-nginx 升级到以下修复版本:

  • v1.11.5
  • v1.12.1
  • 或任何更高版本

已修复的提交: ingress-nginx main@2e9f373 有关升级的详细信息,请参考官方升级文档

检测方法

检查 Ingress 资源中 mirror-targetmirror-host 注解内是否存在可疑数据,这可能表明存在利用此漏洞的企图。

报告与致谢

如果您发现此漏洞已被利用的证据,请联系 security@kubernetes.io。 此漏洞由 Wiz 公司的 Nir Ohfeld、Ronen Shustin、Sagi Tzadik 和 Hillai Ben Sasson 报告。 该问题由 Marco Ebert、James Strong、Tabitha Sable 以及 Kubernetes 安全响应委员会修复和协调。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次