漏洞描述:
该漏洞源于Inɡrеѕѕ NGINX Cоntrоllеr没有充分验证inɡrеѕѕ配置,攻击者可伪造AdmiѕѕiоnRеviеԝ请求加载恶意共享库执行任意代码,访问Kubеrnеtеѕ集群敏感信息等。
该漏洞可能被用于执行任意代码,访问Kubеrnеtеѕ集群中所有命名空间存储的机密信息,进而导致整个集群被接管。
攻击场景:
攻击者可能通过发送恶意的ingress对象直接向admission controller注入任意NGINX配置,进而在Ingress NGINX Controller的pod上执行任意代码。
影响产品:
1、 ingress-nginx <= 1.12.0
2、 ingress-nginx <= 1.11.4
修复建议:
立即升级Ingress NGINX Controller到版本1.12.1或1.11.5。
限制对admission webhook的访问,使用网络策略进行控制。
如果无法立即升级,暂时禁用admission controller组件。
目前官方已发布安全更新,建议用户尽快升级至最新版本:
https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/
补丁名称:
Inɡrеѕѕ NGINX Cоntrоllеr 远程代码执行漏洞—更新至修复版本1.32.3
公告链接:
https://github.com/kubernetes/kubernetes/issues/131009
文件链接:
https://github.com/kubernetes/kubernetes/releases/tag/v1.32.3
原文始发于微信公众号(飓风网络安全):【漏洞预警】Ingress NGINX Controller远程代码执行漏洞(CVE-2025-1974)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论