https://blog.qife122.com/tags/%E5%87%86%E5%85%A5%E6%8E%A7%E5%88%B6%E5%99%A8/ Recent content in 准入控制器 on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 05:27:29 +0800 https://blog.qife122.com/p/kubernetes%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Ecve-2024-3177%E7%BB%95%E8%BF%87%E5%8F%AF%E6%8C%82%E8%BD%BD%E5%AF%86%E9%92%A5%E7%AD%96%E7%95%A5%E7%9A%84%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D/ Mon, 12 Jan 2026 05:27:29 +0800 https://blog.qife122.com/p/kubernetes%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Ecve-2024-3177%E7%BB%95%E8%BF%87%E5%8F%AF%E6%8C%82%E8%BD%BD%E5%AF%86%E9%92%A5%E7%AD%96%E7%95%A5%E7%9A%84%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D/ <h1 id="cve-2024-3177绕过serviceaccount准入插件施加的可挂载密钥策略">CVE-2024-3177：绕过ServiceAccount准入插件施加的可挂载密钥策略</h1> <p><strong>CVSS评分</strong>：CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N - 低危 (2.7)</p> <p>在Kubernetes中发现了一个安全问题，当使用带有填充了<code>envFrom</code>字段的容器、初始化容器和临时容器时，用户可能能够启动绕过由ServiceAccount准入插件强制实施的可挂载密钥策略的容器。该策略确保使用服务帐户运行的Pod只能引用服务帐户的<code>secrets</code>字段中指定的密钥。只有当ServiceAccount准入插件与<code>kubernetes.io/enforce-mountable-secrets</code>注解一起使用，并且容器、初始化容器和临时容器带有填充的<code>envFrom</code>字段时，Kubernetes集群才会受到影响。</p> https://blog.qife122.com/p/kubernetes%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Ecve-2025-5187%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90%E8%8A%82%E7%82%B9%E9%80%9A%E8%BF%87ownerreference%E8%87%AA%E5%88%A0%E9%99%A4%E7%9A%84%E9%A3%8E%E9%99%A9/ Thu, 01 Jan 2026 17:13:32 +0800 https://blog.qife122.com/p/kubernetes%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Ecve-2025-5187%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90%E8%8A%82%E7%82%B9%E9%80%9A%E8%BF%87ownerreference%E8%87%AA%E5%88%A0%E9%99%A4%E7%9A%84%E9%A3%8E%E9%99%A9/ <h1 id="cve-2025-5187-节点通过添加ownerreference删除自身">CVE-2025-5187: 节点通过添加OwnerReference删除自身</h1> <p><strong>CVSS评分</strong>: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L - 中危 (6.7)</p> <h2 id="漏洞描述">漏洞描述</h2> <p>NodeRestriction准入控制器中存在一个漏洞，节点用户可以通过为其对应的节点对象打补丁，添加一个指向集群范围资源的OwnerReference，从而删除该节点对象。如果该OwnerReference引用的资源不存在或随后被删除，给定的节点对象将通过垃圾回收机制被删除。</p>