漏洞背景
近日,嘉诚安全监测到Ingress NGINX Controller 远程代码执行漏洞,漏洞编号为:CVE-2025-1974
Ingress-nginx是Kubernetes官方维护的Ingress控制器,基于NGINX反向代理实现,通过监听集群中Ingress资源的定义动态生成并更新NGINX配置,负责将外部HTTP/HTTPS流量路由至集群内部服务,支持负载均衡、TLS终止、路径重写等特性,是Kubernetes生态中应用最广泛的入口流量管理组件之一。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判,该漏洞为高危漏洞,POCEXP已公开。该漏洞源于Ingress NGINX Controller没有充分验证ingress配置,攻击者可伪造AdmissionReview请求加载恶意共享库执行任意代码,访问 Kubernetes 集群敏感信息等。
危害影响
影响版本:
ingress-nginx <= 1.12.0
ingress-nginx <= 1.11.4
处置建议
目前官方已发布安全更新,建议用户尽快升级至最新版本:
https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/
参考链接:
[1]https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/
[2]https://https//github.com/kubernetes/kubernetes/issues/131009
原文始发于微信公众号(嘉诚安全):【漏洞通告】Ingress NGINX Controller 远程代码执行漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论