Kubernetes安全漏洞公告(CVE-2025-0426)
CVE-2025-0426是Kubernetes中的一个拒绝服务(DoS)漏洞,影响kubelet的只读HTTP端口。当攻击者向该端点发送大量/checkpoint接口请求时,可能会导致节点磁盘空间被迅速填满,从而引发节点拒绝服务。
漏洞详情
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
---|---|---|---|
拒绝服务 |
中 |
2025-02-13 |
漏洞影响
漏洞影响范围如下:
- kubelet v1.32.0 ~ v1.32.1
- kubelet v1.31.0 ~ v1.31.5
- kubelet v1.30.0 ~ v1.30.9
kubelet 1.25到1.29版本特性开关ContainerCheckpoint默认关闭,不受影响。

只有在启用了kubelet只读HTTP端口,并且使用支持容器检查点功能的容器运行时(containerd v2.0+ , docker v1.13+,且开启criu)的Kubernetes 集群中,才会受到此漏洞的影响。
目前,CCE Autopilot集群使用的containerd版本为v1.6和v1.7,默认未开启criu,因此不受此漏洞影响。
判断方法
如果kubelet的HTTP只读端口收到大量针对/checkpoint接口的请求,这可能表明有攻击者正在利用此漏洞发起拒绝服务攻击。
漏洞修复方案
CCE Autopilot集群未启用criu,不在受影响范围,不会触发CVE-2025-0426漏洞。请勿自行启用criu参数,同时,CCE将在新版本回合社区代码修复,请关注Autopilot集群补丁版本发布记录。