北京赛克艾威科技有限公司 2025-03-24
2025年3月,Kubernetes 官方披露 CVE\-2025\-24513 Kubernetes ingress\-nginx auth secret file 目录遍历漏洞(CVE\-2025\-24513)。Nginx Ingress Controller不对Ingress资源写权限持有者提交的输入数据进行充分验证与过滤。攻击者可利用此漏洞构造恶意请求,将非法数据注入配置文件的生成路径中,从而触发容器内的目录遍历漏洞。该漏洞可能导致拒绝服务,或者与其他漏洞结合使用,导致集群内有限Secrets实例的泄露。
1. 更新至 1.11.5 或 1.12.1 及其以上版本。 2. 云安全中心容器资产 k8s组件漏洞检测功能 已针对该漏洞上线相关检测规则。 3. 针对ACK产品,建议参考ACK团队官方公告 https://help.aliyun.com/zh/ack/product-overview/security-advisory-for-cve-2025-1097-cve-2025-1098-cve-2025-1974-cve-2025-24513-and-cve-2025-24514
https://github.com/kubernetes/kubernetes/issues/131005
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24513