文档首页/ 云容器引擎 CCE_Autopilot集群/ 服务公告/ 漏洞公告/ NGINX Ingress控制器漏洞公告(CVE-2025-1974、CVE-2025-1097、CVE-2025-1098、CVE-2025-24513、CVE-2025-24514)
更新时间:2025-03-27 GMT+08:00
分享

NGINX Ingress控制器漏洞公告(CVE-2025-1974、CVE-2025-1097、CVE-2025-1098、CVE-2025-24513、CVE-2025-24514)

Kubernetes社区近日公布了五个安全漏洞(CVE-2025-1974、CVE-2025-1097、CVE-2025-1098、CVE-2025-24513、CVE-2025-24514),这些漏洞可能允许攻击者执行任意代码或拒绝服务,详情如下:

  • CVE-2025-1974是NGINX Ingress控制器中发现的一个高危安全漏洞。该漏洞允许未经身份验证的攻击者在特定条件下访问Pod网络,并在NGINX Ingress控制器的上下文中执行任意代码,从而可能导致敏感信息泄露。
  • CVE-2025-1097是NGINX Ingress控制器中发现的一个高危安全漏洞。Ingress对象中的“auth-tls-match-cn”的annotation可用于向nginx注入配置,攻击者可借此在Nginx Ingress控制器上下文中实现任意代码执行,并泄露控制器可访问的Secret。
  • CVE-2025-1098是NGINX Ingress控制器中发现的高危漏洞,Ingress对象中的“mirror-target”和“mirror-host”的annotation可用于向nginx注入配置,攻击者可借此在Nginx Ingress控制器上下文中实现任意代码执行,并泄露控制器可访问的Secret。
  • CVE-2025-24513是NGINX Ingress控制器中发现的一个漏洞,攻击者提供的恶意数据可被准入控制器特性包含在文件名中,导致容器内部的目录遍历漏洞。这可能导致拒绝服务(DoS)攻击,或在与其他漏洞结合时,可能导致Secret对象的有限泄露。
  • CVE-2025-24514是NGINX Ingress控制器中发现的一个高危安全漏洞。Ingress对象中的“auth-url”的annotation可用于向nginx注入配置,攻击者可借此在Nginx Ingress控制器上下文中实现任意代码执行,并泄露控制器可访问的Secret。

漏洞详情

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

代码执行

CVE-2025-1974

2025-03-24

代码执行

CVE-2025-1097

2025-03-24

代码执行

CVE-2025-1098

2025-03-24

代码执行

CVE-2025-24514

2025-03-24

拒绝服务

CVE-2025-24513

2025-03-24

漏洞影响

受漏洞影响的开源NGINX Ingress控制器版本范围如下:

  • < v1.11.0
  • v1.11.0 - 1.11.4
  • v1.12.0

CCE Autopilot集群NGINX Ingress控制插件2.4.14及以下的版本均受该漏洞影响,CCE Autopilot集群NGINX Ingress控制插件与开源版本的对应关系参见NGINX Ingress控制器插件版本发布记录

判断方法

  1. 前往“插件中心”,查看是否已安装NGINX Ingress控制器插件以及插件版本。
    图1 查看已安装插件版本

  2. 若插件版本在2.4.14及以下,则受漏洞影响,否则不受这些漏洞影响。

漏洞修复方案

CCE Autopilot集群将发布新的NGINX Ingress控制器插件修复该漏洞,请留意NGINX Ingress控制器插件版本发布记录

  • 针对CVE-2025-1974漏洞:您可以通过关闭 NGINX Ingress控制器插件的准入校验特性来消减风险,操作方法如下:
    • 插件版本在2.4.13以下时,默认未启用准入校验(Admission Webhook),无需消减。
    • 如果您需要关闭准入校验,建议在业务低峰期进行操作。
    1. 登录CCE控制台,单击集群名称进入集群。
    2. 前往“插件中心”,在已安装NGINX Ingress控制器插件页面单击“管理”,选择在漏洞影响范围内的插件版本,单击“编辑”
      图2 管理插件

    3. “编辑插件”页面,关闭“开启准入校验”开关,在右下角并单击“确定”,等待插件状态正常即可。
      图3 关闭准入控制

    4. 升级NGINX Ingress控制器插件到指定版本修复该漏洞后,您可以重新开启准入控制。

      关闭准入校验将不再对Ingress配置进行前置校验,这可能导致配置错误,进而影响服务的可靠性和稳定性。因此,在关闭准入校验后,创建或更新Ingress资源时,您需要确保配置的合法性,建议先在测试环境中充分验证,再升级至生产环境。

  • 针对CVE-2025-1097、CVE-2025-1098、CVE-2025-24514漏洞:若已按上述操作关闭准入校验(Admission Webhook)特性,该漏洞风险已进行消减。在修复之前,您可以按最小权限原则,只给予受信用户创建及管理Ingress的权限,详情请参见命名空间权限(Kubernetes RBAC授权)
    1. 登录CCE控制台。
    2. 前往“权限管理”,选择需要添加权限的集群,单击右上角“添加权限”
    3. 选择需要授予的用户/用户组、命名空间和权限类型,单击“查看详细内容”。

    4. 单击“克隆”。

    5. 输入新建的自定义权限名称。

    6. 删除ingresses的写入权限,并单击“确定”

    7. 返回添加权限页面,权限类型选择“自定义权限”,并勾选上一步中创建的自定义权限。

    8. 单击“确定”

相关链接

相关文档