https://blog.qife122.com/tags/%E5%8A%A8%E6%80%81%E8%B5%84%E6%BA%90%E5%88%86%E9%85%8D/ Recent content in 动态资源分配 on 办公AI智能小助手 Hugo zh-cn qife Tue, 30 Dec 2025 14:19:42 +0800 https://blog.qife122.com/p/kubernetes-%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E-cve-2025-4563%E8%8A%82%E7%82%B9%E5%8F%AF%E7%BB%95%E8%BF%87%E5%8A%A8%E6%80%81%E8%B5%84%E6%BA%90%E5%88%86%E9%85%8D%E6%8E%88%E6%9D%83%E6%A3%80%E6%9F%A5/ Tue, 30 Dec 2025 14:19:42 +0800 https://blog.qife122.com/p/kubernetes-%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E-cve-2025-4563%E8%8A%82%E7%82%B9%E5%8F%AF%E7%BB%95%E8%BF%87%E5%8A%A8%E6%80%81%E8%B5%84%E6%BA%90%E5%88%86%E9%85%8D%E6%8E%88%E6%9D%83%E6%A3%80%E6%9F%A5/ <p><strong>描述</strong></p> <p><strong>CVSS 评分：</strong> CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L - 低 (2.7)</p> <p>Kubernetes 的 NodeRestriction 准入控制器中存在一个漏洞，允许节点绕过动态资源分配的授权检查。当启用 DynamicResourceAllocation 功能门控时，控制器在 Pod 状态更新期间会正确验证资源声明状态，但在 Pod 创建期间未能执行等效验证。这使得受感染的节点能够创建访问未经授权的动态资源的 Mirror Pod，可能导致权限提升。</p>