漏洞背景

ingress-nginx 是 Kubernetes 的 Ingress 控制器，使用 nginx 作为反向代理和负载均衡服务器。2025年3月25日，Kubernetes 社区与安全公司 Wiz 联合披露了五个安全漏洞（CVE-2025-1097、CVE-2025-1098、CVE-2025-1974、CVE-2025-24513、CVE-2025-24514），详情如下：

• CVE-2025-1974：严重漏洞，CVSS 评分 9.8。能访问集群内网的攻击者可以利用 ingress-nginx-controller 的验证准入控制器（ValidatingAdmissionWebhook）功能实现配置注入，从而在 ingress-nginx controller 中执行任意代码，并进一步获取整个集群维度的 Secrets。
• CVE-2025-1098：高危漏洞，CVSS 评分 8.8。有 Ingress 资源写权限的攻击者可以通过mirror-target和mirror-host Annotation 向 Nginx 注入配置，从而在 ingress-nginx controller 中执行任意代码，并进一步获取整个集群维度的 Secrets。
• CVE-2025-1097：高危漏洞，CVSS 评分 8.8。有 Ingress 资源写权限的攻击者可以通过auth-tls-match-cn Annotation 向 Nginx 注入配置，从而在 ingress-nginx-controller 中执行任意代码，并进一步获取整个集群维度的 Secrets。
• CVE-2025-24514：高危漏洞，CVSS 评分 8.8。有 Ingress 资源写权限的攻击者可以通过auth-url Annotation 向 Nginx 注入配置，从而在 ingress-nginx controller 中执行任意代码，并进一步获取整个集群维度的Secrets。
• CVE-2025-24513：中危漏洞，CVSS 评分 4.8。有 Ingress 资源写权限的攻击者可以将非法数据注入配置文件的生成路径中，从而触发容器内的目录遍历漏洞。该漏洞可能导致拒绝服务，或者与其他漏洞结合使用，导致集群内有限 Secrets 的泄露。

影响范围

满足以下任意一个条件的 ingress-nginx，均在漏洞影响范围内：

• ingress-nginx-controller < v1.11.5
• 1.12.0 <= ingress-nginx-controller < v1.12.1

修复方案

容器服务（VKE）发布了修复该漏洞的 ingress-nginx-controller 版本。详情请参见 ingress-nginx 发布记录。升级 ingress-nginx 组件前，请仔细阅读变更影响，以免对您的业务流量产生影响。

社区在 ingress-nginx-controller v1.11.5 和 v1.12.1 版本上修复该漏洞，修复版本仅支持 Kubernetes 1.26 及以上版本的 VKE 集群，若集群 Kubernetes 版本低于 1.26，请先 升级集群。

缓解措施

难以通过升级修复漏洞时，可参考如下措施降低漏洞危害：

• 通过防火墙/安全组增加网络访问控制，使得仅 Kubernetes API Server 等必要服务可访问 admission。
• 移除或禁用 ingress nginx 的 admission webhook 服务。需要注意配置的正确性，错误的配置可能导致服务不可用。

相关链接

• 社区漏洞 Issue：
  • CVE-2025-1097
  • CVE-2025-1098
  • CVE-2025-1974
  • CVE-2025-24513
  • CVE-2025-24514