【安全资讯】Kubernetes Ingress-nginx 控制器存在组合利用漏洞致远程代码执行

近日，安恒信息CERT监测到 Kubernetes  Ingress-nginx存在多个漏洞（CVE-2025-1097、CVE-2025-1098、CVE-2025-24514和CVE-2025-1974），漏洞由于mirror-target和mirror-host这两个Ingress注解可以被用于向Nginx注入任意配置，未经过身份验证的攻击者如果能够访问pod网络，导致在Ingress-nginx控制器的上下文中执行任意代码执行以及控制器可访问的Secrets被泄露，从而导致集群接管。（在默认安装配置下，该控制器能够访问集群范围内的所有Secrets。）

影响版本：

<= v1.11.4，v 1.12.0

官方修复方案：

将组件github.com/kubernetes/ingress-nginx升级至v1.11.5、v1.12.1或任何更高版本。可以通过关闭ingress-nginx的验证准入控制器功能来降低风险。

1. 使用Helm安装的ingress-nginx：可以重新安装并设置Helm属性controller.admissionWebhooks.enabled=false

2. 手动安装的ingress-nginx：删除名为ValidatingWebhook 配置ingress-nginx-admission，编辑ingress-nginx-controllerDeployment或Daemonset，从控制器容器的参数列表中删除 --validating-webhook

若集群上未安装 ingress-nginx，则不会受到影响此漏洞影响。可以通过运行

“kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx”进行检查。

参考链接：

https://github.com/kubernetes/kubernetes/issues/131009