大工网安告[2025017]

一、 情况分析

Ingress-nginx是Kubernetes官方维护的Ingress控制器，基于NGINX反向代理实现，通过监听集群中Ingress资源的定义动态生成并更新NGINX配置，负责将外部HTTP/HTTPS流量路由至集群内部服务，支持负载均衡、TLS终止、路径重写等特性，是Kubernetes生态中应用最广泛的入口流量管理组件之一。

近日，官方修复Kubernetes Ingress Nginx 远程代码执行(CVE-2025-1974)漏洞，未经身份验证的攻击者可利用该漏洞在Ingress-nginx Admission Controller的上下文中实现任意代码执行，进而可获取敏感数据并接管集群。

威胁类型：远程代码执行。

技术类型：授权不当。

利用条件：无

危害描述：攻击者可在Ingress-nginx Admission Controller的上下文中实现任意代码执行，进而可获取敏感数据并接管集群。

二、 影响版本

ingress-nginx < v1.11.0

ingress-nginx = v1.12.0

三、 处置建议

修复解决方案（含漏洞补丁）：

目前官方已有可更新版本，建议受影响用户升级至最新版本：

https://github.com/kubernetes/ingress-nginx/releases/

修复缓解措施：

如果无法升级到安全版本，可以通过禁用ingress-nginx的Validating Admission Controller功能来显著降低风险。