北京赛克艾威科技有限公司 2025-03-25
Ingress NGINX 控制器是 Kubernetes 中核心的控制器,用于处理传入流量并将其路由到相关的 Kubernetes 服务,根据一组规则将流量转发到适当的 Pods。 受影响版本的 ingress\-nginx 控制器在处理传入的 AdmissionReview 请求时会根据模板文件和提供的 Ingress 对象生成一个临时的 NGINX 配置文件。然后使用 nginx \-t 命令测试临时配置文件的有效性,这一操作导致攻击者可借助 nginx 配置文件注入恶意代码。 修复版本通过禁用验证过程中的 nginx 配置测试来缓解该漏洞。
1. 将组件 github.com/kubernetes/ingress-nginx 升级至 1.11.5 及以上版本 2. 可以通过关闭 ingress-nginx 的验证准入控制器功能来降低风险。 1)使用 Helm 安装的 ingress-nginx: 可以重新安装并设置 Helm 属性 controller.admissionWebhooks.enabled=false 2)手动安装的 ingress-nginx: 删除名为 ValidatingWebhook 配置ingress-nginx-admission,编辑 ingress-nginx-controllerDeployment 或 Daemonset,从控制器容器的参数列表中删除 --validating-webhook
https://www.oscs1024.com/hd/MPS-1id9-ca8z
https://nvd.nist.gov/vuln/detail/CVE-2025-1974
https://github.com/kubernetes/kubernetes/issues/131009
https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities