NGINX Ingress控制器漏洞公告（CVE-2025-1974、CVE-2025-1097、CVE-2025-1098、CVE-2025-24513、CVE-2025-24514）

漏洞详情

漏洞影响

受漏洞影响的开源NGINX Ingress控制器版本范围如下：

• < v1.11.0
• v1.11.0 - 1.11.4
• v1.12.0

CCE Autopilot集群NGINX Ingress控制插件2.4.14及以下的版本均受该漏洞影响，CCE Autopilot集群NGINX Ingress控制插件与开源版本的对应关系参见NGINX Ingress控制器插件版本发布记录。

判断方法

1. 前往“插件中心”，查看是否已安装NGINX Ingress控制器插件以及插件版本。
   图1 查看已安装插件版本
   

2. 若插件版本在2.4.14及以下，则受漏洞影响，否则不受这些漏洞影响。

漏洞修复方案

CCE Autopilot集群将发布新的NGINX Ingress控制器插件修复该漏洞，请留意NGINX Ingress控制器插件版本发布记录。

• 针对CVE-2025-1974漏洞：您可以通过关闭 NGINX Ingress控制器插件的准入校验特性来消减风险，操作方法如下：
  

  • 插件版本在2.4.13以下时，默认未启用准入校验（Admission Webhook），无需消减。
  • 如果您需要关闭准入校验，建议在业务低峰期进行操作。
  1. 登录CCE控制台，单击集群名称进入集群。
  2. 前往“插件中心”，在已安装NGINX Ingress控制器插件页面单击“管理”，选择在漏洞影响范围内的插件版本，单击“编辑”。
     图2 管理插件
     

  3. 在“编辑插件”页面，关闭“开启准入校验”开关，在右下角并单击“确定”，等待插件状态正常即可。
     图3 关闭准入控制
     

  4. 升级NGINX Ingress控制器插件到指定版本修复该漏洞后，您可以重新开启准入控制。
     

     关闭准入校验将不再对Ingress配置进行前置校验，这可能导致配置错误，进而影响服务的可靠性和稳定性。因此，在关闭准入校验后，创建或更新Ingress资源时，您需要确保配置的合法性，建议先在测试环境中充分验证，再升级至生产环境。

• 针对CVE-2025-1097、CVE-2025-1098、CVE-2025-24514漏洞：若已按上述操作关闭准入校验（Admission Webhook）特性，该漏洞风险已进行消减。在修复之前，您可以按最小权限原则，只给予受信用户创建及管理Ingress的权限，详情请参见命名空间权限（Kubernetes RBAC授权）。
  1. 登录CCE控制台。
  2. 前往“权限管理”，选择需要添加权限的集群，单击右上角“添加权限”。
  3. 选择需要授予的用户/用户组、命名空间和权限类型，单击“查看详细内容”。

     

  4. 单击“克隆”。

     

  5. 输入新建的自定义权限名称。

     

  6. 删除ingresses的写入权限，并单击“确定”。

     

  7. 返回添加权限页面，权限类型选择“自定义权限”，并勾选上一步中创建的自定义权限。

     

  8. 单击“确定”。

相关链接

• 开源NGINX Ingress控制器v1.11.5版本发布记录：https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.11.5
• 开源NGINX Ingress控制器v1.12.1版本发布记录：https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.12.1
• Kubernetes社区关于CVE-2025-1974的披露公告：https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974