Kubernetes ingress-nginx 高危漏洞 CVE-2025-24514:配置注入导致权限提升

本文披露了Kubernetes ingress-nginx控制器中的一个高危安全漏洞CVE-2025-24514。攻击者可通过未经验证的`auth-url`注解注入恶意配置,从而导致在控制器上下文中执行任意代码并窃取集群范围内的Secret。建议立即升级到已修复版本。

CVE-2025-24514:通过未净化的auth-url注解在ingress-nginx控制器中实现配置注入

CVSS 评分:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (得分:8.8,高危)

在 ingress-nginx 中发现了一个安全问题,攻击者可以利用 auth-url Ingress 注解向 nginx 注入配置。这可能导致在 ingress-nginx 控制器的上下文中执行任意代码,并泄露控制器可访问的 Secret。(请注意,在默认安装中,控制器可以访问集群范围内的所有 Secret。)

我是否受影响?

此问题影响 ingress-nginx。如果您的集群上没有安装 ingress-nginx,则不受影响。您可以通过运行 kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx 来检查。

如果您启用了 enable-annotation-validation CLI 参数,则不受此问题影响。(该选项从 ingress-nginx v1.12.0 开始默认启用。)

受影响版本

  • < v1.11.0
  • v1.11.0 - 1.11.4
  • v1.12.0

如何缓解此漏洞?

需要采取行动:必须执行以下步骤来缓解此漏洞:将 ingress-nginx 升级到 v1.11.5、v1.12.1 或任何更高版本。

在升级之前,可以通过将 enable-annotation-validation CLI 参数设置为 “true” 来缓解此漏洞。

已修复版本

  • ingress-nginx main@ab470eb

要升级,请参考文档:升级 Ingress-nginx

检测

Ingress 资源的 auth-url 注解中的可疑数据可能表明存在利用此漏洞的企图。

如果您发现此漏洞被利用的证据,请联系 security@kubernetes.io

致谢

此漏洞由 Wiz 的 Nir Ohfeld、Ronen Shustin 和 Sagi Tzadik 报告。 该问题由 Marco Ebert、James Strong、Tabitha Sable 和 Kubernetes 安全响应委员会修复并协调。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次