NGINX Ingress控制器漏洞公告(CVE-2025-1974、CVE-2025-1097、CVE-2025-1098、CVE-2025-24513、CVE-2025-24514)
Kubernetes社区近日公布了五个安全漏洞(CVE-2025-1974、CVE-2025-1097、CVE-2025-1098、CVE-2025-24513、CVE-2025-24514),这些漏洞可能允许攻击者执行任意代码或拒绝服务,详情如下:
- CVE-2025-1974是NGINX Ingress控制器中发现的一个高危安全漏洞。该漏洞允许未经身份验证的攻击者在特定条件下访问Pod网络,并在NGINX Ingress控制器的上下文中执行任意代码,从而可能导致敏感信息泄露。
- CVE-2025-1097是NGINX Ingress控制器中发现的一个高危安全漏洞。Ingress对象中的“auth-tls-match-cn”的annotation可用于向nginx注入配置,攻击者可借此在Nginx Ingress控制器上下文中实现任意代码执行,并泄露控制器可访问的Secret。
- CVE-2025-1098是NGINX Ingress控制器中发现的高危漏洞,Ingress对象中的“mirror-target”和“mirror-host”的annotation可用于向nginx注入配置,攻击者可借此在Nginx Ingress控制器上下文中实现任意代码执行,并泄露控制器可访问的Secret。
- CVE-2025-24513是NGINX Ingress控制器中发现的一个漏洞,攻击者提供的恶意数据可被准入控制器特性包含在文件名中,导致容器内部的目录遍历漏洞。这可能导致拒绝服务(DoS)攻击,或在与其他漏洞结合时,可能导致Secret对象的有限泄露。
- CVE-2025-24514是NGINX Ingress控制器中发现的一个高危安全漏洞。Ingress对象中的“auth-url”的annotation可用于向nginx注入配置,攻击者可借此在Nginx Ingress控制器上下文中实现任意代码执行,并泄露控制器可访问的Secret。
漏洞详情
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
---|---|---|---|
代码执行 |
高 |
2025-03-24 |
|
代码执行 |
高 |
2025-03-24 |
|
代码执行 |
高 |
2025-03-24 |
|
代码执行 |
高 |
2025-03-24 |
|
拒绝服务 |
中 |
2025-03-24 |
漏洞影响
受漏洞影响的开源NGINX Ingress控制器版本范围如下:
- < v1.11.0
- v1.11.0 - 1.11.4
- v1.12.0
CCE Autopilot集群NGINX Ingress控制插件2.4.14及以下的版本均受该漏洞影响,CCE Autopilot集群NGINX Ingress控制插件与开源版本的对应关系参见NGINX Ingress控制器插件版本发布记录。
判断方法
- 前往“插件中心”,查看是否已安装NGINX Ingress控制器插件以及插件版本。
图1 查看已安装插件版本
- 若插件版本在2.4.14及以下,则受漏洞影响,否则不受这些漏洞影响。
漏洞修复方案
CCE Autopilot集群将发布新的NGINX Ingress控制器插件修复该漏洞,请留意NGINX Ingress控制器插件版本发布记录。
- 针对CVE-2025-1974漏洞:您可以通过关闭 NGINX Ingress控制器插件的准入校验特性来消减风险,操作方法如下:
- 插件版本在2.4.13以下时,默认未启用准入校验(Admission Webhook),无需消减。
- 如果您需要关闭准入校验,建议在业务低峰期进行操作。
- 登录CCE控制台,单击集群名称进入集群。
- 前往“插件中心”,在已安装NGINX Ingress控制器插件页面单击“管理”,选择在漏洞影响范围内的插件版本,单击“编辑”。
图2 管理插件
- 在“编辑插件”页面,关闭“开启准入校验”开关,在右下角并单击“确定”,等待插件状态正常即可。
图3 关闭准入控制
- 升级NGINX Ingress控制器插件到指定版本修复该漏洞后,您可以重新开启准入控制。
关闭准入校验将不再对Ingress配置进行前置校验,这可能导致配置错误,进而影响服务的可靠性和稳定性。因此,在关闭准入校验后,创建或更新Ingress资源时,您需要确保配置的合法性,建议先在测试环境中充分验证,再升级至生产环境。
- 针对CVE-2025-1097、CVE-2025-1098、CVE-2025-24514漏洞:若已按上述操作关闭准入校验(Admission Webhook)特性,该漏洞风险已进行消减。在修复之前,您可以按最小权限原则,只给予受信用户创建及管理Ingress的权限,详情请参见命名空间权限(Kubernetes RBAC授权)。
相关链接
- 开源NGINX Ingress控制器v1.11.5版本发布记录:https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.11.5
- 开源NGINX Ingress控制器v1.12.1版本发布记录:https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.12.1
- Kubernetes社区关于CVE-2025-1974的披露公告:https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974