漏洞概述
近日,Ingress-Nginx 项目的维护者们发布了一批关键漏洞的修复补丁,其中包含了高风险漏洞(CVE-2025-29927),攻击者可以利用该漏洞轻易接管你的 Kubernetes 集群。目前有 40% 以上的 Kubernetes 管理员正在使用 ingress-nginx,建议您及时开展安全风险自查。
Ingress-Nginx 是 Kubernetes 生态中基于 Nginx 实现的 Ingress 控制器,用于管理集群外部的 HTTP ( S ) 和 WebSocket 流量路由。其核心作用是通过定义路由规则,将外部请求按域名、路径等策略转发至集群内部服务,并提供负载均衡、SSL 终止、限流等高级功能。
据描述,Ingress-Nginx 在 v1.11.5、v1.12.1 之前的版本中存在一个安全漏洞。攻击者向同一 Pod 内的 NGINX 服务器发送一个长缓冲请求。NGINX 会将该请求缓存为一个临时文件,然后攻击者发送第二个请求至准入验证 Webhook 服务器(Admission Validating Webhook Server)。该 Webhook 会触发 NGINX 生成一个包含恶意配置指令 ssl_engine badso_location; 准入 Webhook 会执行 nginx -t 命令来验证配置文件的合法性。由于 NGINX 在加载配置时会直接解析并执行特定指令,攻击者可通过恶意指令在 NGINX 服务器的上下文中触发远程代码执行(RCE),从而完全控制服务器。
漏洞影响的产品和版本:
< v1.11.0
v1.11.0 - 1.11.4
v1.12.0
漏洞复现
资产测绘
据 daydaymap 数据显示互联网存在 15102 个资产,国内风险资产分布情况如下:
解决方案
临时缓解方案:
启用 mTLS 认证准入控制器;
定期审计 Ingress 注解使用情况;
实施 Pod 安全策略限制挂载敏感目录。
升级修复:
目前官方已发布修复安全补丁
kubectl set image deployment/ingress-nginx-controller controller=k8s.gcr.io/ingress-nginx/controller:v1.12.1
参考链接
https://github.com/kubernetes/kubernetes/issues/131009
登录后才可以发布评论哦
打开小程序可以发布评论哦