【漏洞通告】Kubernetes ingress-nginx控制器任意代码执行漏洞(CVE-2025-1974)

一、漏洞概述

漏洞名称

Kubernetes ingress-nginx控制器任意代码执行漏洞

CVE ID

CVE-2025-1974

漏洞类型

远程代码执行

发现时间

2025-03-28

漏洞评分

9.8

漏洞等级

严重

攻击向量

网络

所需权限

无

利用难度

低

用户交互

不需要

PoC/EXP

已公开

在野利用

未发现

ingress-nginx控制器是Kubernetes中的一个关键组件，用于管理集群内部和外部流量的访问控制。它通过定义Ingress资源来配置HTTP和HTTPS路由，实现负载均衡、SSL终止、反向代理等功能。该控制器基于NGINX，支持灵活的流量管理策略和高可扩展性。

2025年3月28日，启明星辰集团VSRC监测到Kubernetes发布的安全公告，指出在Kubernetes中发现了一个严重的安全漏洞，该漏洞影响ingress-nginx控制器。未经身份验证的攻击者仅需访问Pod网络，便可在ingress-nginx控制器上下文中执行任意代码，进而泄露控制器可访问的Secrets。默认情况下，ingress-nginx控制器具有访问整个集群所有Secrets的权限。该漏洞的CVSS评分为9.8分，漏洞等级严重。

二、影响范围

ingress-nginx < v1.11.0

v1.11.0 <= ingress-nginx <= 1.11.4

ingress-nginx = v1.12.0

三、安全措施

3.1 升级版本

官方已发布修复版本ingress-nginx v1.12.1和v1.11.5，建议受影响用户尽快更新。

下载链接：

https://github.com/kubernetes/ingress-nginx/releases/

3.2 临时措施

可以通过禁用ingress-nginx的Validating Admission Controller功能来显著降低风险。

如果使用Helm安装ingress-nginx：重新安装，并设置Helm值controller.admissionWebhooks.enabled=false。

如果手动安装ingress-nginx：删除名为ingress-nginx-admission的ValidatingWebhookConfiguration。编辑ingress-nginx-controller的Deployment或DaemonSet，移除控制器容器参数列表中的--validating-webhook。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://github.com/kubernetes/kubernetes/issues/131009

https://nvd.nist.gov/vuln/detail/CVE-2025-1974

https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/