Ingress NGINX Controller远程代码执行漏洞风险通告

一、漏洞描述

Ingress-nginx是Kubernetes官方维护的Ingress控制器，基于NGINX反向代理实现，通过监听集群中Ingress资源的定义动态生成并更新NGINX配置，负责将外部HTTP/HTTPS流量路由至集群内部服务，支持负载均衡、TLS终止、路径重写等特性，是Kubernetes生态中应用最广泛的入口流量管理组件之一。

近日，互联网上披露了关于Ingress NGINX Controller中存在一个远程代码执行漏洞。在受影响版本中，该漏洞源于Ingress NGINX Controller的准入控制器在处理Ingress对象时，未对用户输入进行充分验证和清理。攻击者通过向准入控制器发送恶意的AdmissionReview请求，可以注入任意NGINX配置指令，并在配置验证阶段（使用 nginx -t）触发代码执行。成功利用可执行任意代码、获取Kubernetes集群中所有命名空间的敏感数据（如凭据和密钥）、完全接管集群等严重后果。该漏洞对应的CVE编号为CVE-2025-1974，目前POC已公开，请受影响的用户做好安全加固措施。

二、漏洞等级

高

三、影响范围

ingress-nginx <= 1.12.0

ingress-nginx <= 1.11.4

四、安全版本

ingress-nginx >= 1.12.1

ingress-nginx >= 1.11.5

五、修复建议

目前官方已修复该漏洞，建议受影响用户尽快前往官网升级至安全版本。

六、缓解方案

如果暂时无法升级，可以限制准入控制器仅允许Kubernetes API服务器访问。

七、参考链接

https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/

https//github.com/kubernetes/kubernetes/issues/131009

原文始发于微信公众号（企业安全实践）：【漏洞预警】Ingress NGINX Controller远程代码执行漏洞风险通告