北京赛克艾威科技有限公司 2025-03-24
2025年3月,Kubernetes 官方披露 CVE\-2025\-24514 ingress\-nginx controller auth\-url 配置注入漏洞。具有Ingress资源写权限的攻击者可以通过Nginx Ingress社区提供的auth\-url Annotation向Nginx注入配置,从而在ingress\-nginx controller上下文中执行任意代码,并进一步获取整个集群维度的Secrets。
1. 更新至 1.11.5 或 1.12.1 及其以上版本。 2. 云安全中心容器资产 k8s组件漏洞检测功能 已针对该漏洞上线相关检测规则。 3. 针对ACK产品,建议参考ACK团队官方公告 https://help.aliyun.com/zh/ack/product-overview/security-advisory-for-cve-2025-1097-cve-2025-1098-cve-2025-1974-cve-2025-24513-and-cve-2025-24514
https://github.com/kubernetes/kubernetes/issues/131006
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24514