基本信息
漏洞编号: CVE-2025-1097
危险等级: 高危
影响版本: Kubernetes Ingress-nginx < 1.12.1
受影响组件: Kubernetes Ingress-nginx
验证状态: POC 已公开
修复状态: 官方已发布修复版本
漏洞详情
Ingress-nginx 是 Kubernetes 集群内服务对外暴露的访问接入点,负责承载集群内服务访问流量。 在低于 1.12.1 的旧版本中,auth-tls-match-cn 配置项存在配置注入漏洞。 已获得 Ingress-nginx 访问权限的远程攻击者可以向 Ingress-nginx 提交恶意配置,从而实现任意代码执行。 攻击者可能完全控制容器,并进一步导致集群内的Secrets泄露。
影响范围
影响版本
Kubernetes Ingress-nginx 小于 1.12.1 的所有版本
修复方案
方案一:版本升级 (推荐)
为防止攻击,建议尽快将 Ingress-nginx 升级至以下修复版本或更高版本:
- 1.11.5
- 1.12.1 或更高版本
方案二:临时防护
如果暂时无法升级,可以结合云安全中心容器资产的 K8s 组件漏洞检测功能,及时发现和缓解风险。