如何修複CVE-2025-1097、CVE-2025-1098、CVE-2025-1974、CVE-2025-24513、CVE-2025-24514漏洞 - Container Service for Kubernetes

Kubernetes社區披露了Nginx Ingress相關的一系列安全性漏洞，包括CVE-2025-1097、CVE-2025-1098、CVE-2025-1974、CVE-2025-24513、CVE-2025-24514等。

漏洞影響

CVE-2025-1097：有Ingress資源寫入權限的攻擊者可以通過Nginx Ingress社區提供的auth-tls-match-cn Annotation向Nginx注入配置，從而在ingress-nginx controller上下文中執行任意代碼，並進一步擷取整個叢集維度Secrets。
該漏洞被評估為高危漏洞，CVSS評分為8.8，詳情請參見#131007。
CVE-2025-1098：有Ingress資源寫入權限的攻擊者可以通過Nginx Ingress社區提供的mirror-target和 mirror-host Annotation向Nginx注入配置，從而在ingress-nginx controller上下文中執行任意代碼，並進一步擷取整個叢集維度Secrets。
該漏洞被評估為高危漏洞，CVSS評分為8.8，詳情請參見#131008。
CVE-2025-1974：在一定條件下，能訪問叢集內網的攻擊者可以利用Nginx Ingress的驗證准入控制器（ValidatingAdmissionWebhook）功能實現配置注入，從而在ingress-nginx controller的上下文中執行任意代碼，並進一步擷取整個叢集維度Secrets密鑰。
該漏洞被評估為高危漏洞，CVSS評分為9.8，詳情請參見#131009。
CVE-2025-24513：Nginx Ingress Controller不對Ingress資源寫入權限持有人提交的輸入資料進行充分驗證與過濾。攻擊者可利用此漏洞構造惡意請求，將非法資料注入設定檔的產生路徑中，從而觸發容器內的目錄遍曆漏洞。該漏洞可能導致拒絕服務，或者與其他漏洞結合使用，導致叢集內有限Secrets執行個體的泄露。
該漏洞被評估為中危漏洞，CVSS評分為4.8，詳情請參見#131005。
CVE-2025-24514：有Ingress資源寫入權限的攻擊者可以通過Nginx Ingress社區提供的auth-url Annotation向Nginx注入配置，從而在ingress-nginx controller上下文中執行任意代碼，並進一步擷取整個叢集維度Secrets。
該漏洞被評估為高危漏洞，CVSS評分為8.8，詳情請參見#131006。

影響範圍

未安裝Nginx Ingress Controller組件的叢集不在上述漏洞的影響範圍內。您可以參見以下內容查詢叢集是否安裝了該組件。

如通過組件管理頁面安裝。
您可以在組件管理頁面查看。
1. 登入Container Service管理主控台，在左側導覽列選擇叢集列表。
2. 在叢集列表頁面，單擊目的地組群名稱，然後在左側導覽列，選擇營運管理 > 組件管理。
3. 在組件管理頁面，您可以搜尋並定位Nginx Ingress Controller組件，在組件卡片上查看組件是否已安裝以及組件的目前的版本。
或通過以下命令查詢。
```
kubectl get pods -n kube-system --selector app=ingress-nginx
```
如通過應用市場（Helm Chart）安裝。
1. 登入Container Service管理主控台，在左側導覽列選擇叢集列表。
2. 在叢集列表頁面，單擊目的地組群名稱，然後在左側導覽列，選擇應用 > Helm。
3. 在Helm列表，查看是否有ack-ingress-nginx或ack-ingress-nginx-v1對應的Chart應用，其中應用版本為當前Nginx Ingress Controller組件的版本。
  例如下圖所示。

受影響的Nginx Ingress Controller版本如下：

<v1.11.5
v1.12.0

如組件未啟用Admission Webhook則不受影響。若通過組件管理頁面安裝，可執行kubectl get validatingwebhookconfigurations ingress-nginx-admission確認是否啟用；若通過應用市場安裝，可查看對應應用的基本資料，查看資源中是否有ValidatingWebhookConfiguration 類型的配置。

社區在下列Nginx Ingress Controller版本中修複了該問題：

v1.11.5
v1.12.1

修複連結如下：

CVE-2025-1097：ingress-nginx main@06c992a
CVE-2025-1098：ingress-nginx main@2e9f373
CVE-2025-1974：ingress-nginx main@0ccf4ca
CVE-2025-24513：ingress-nginx main@cbc1590
CVE-2025-24514：ingress-nginx main@ab470eb

解決方案

從組件管理頁面和應用市場（Helm Chart）安裝的Nginx Ingress Controller解決方案不同。

組件管理組件

在升級到漏洞修複版本前，您可以在指定叢集的組件管理頁面中找到Nginx Ingress Controller組件，手動關閉Admission Webhook功能以降低風險。具體操作，請參見管理Nginx Ingress Controller組件。
Nginx Ingress Controller在v1.11.5版本中修複了相關漏洞。請參見Nginx Ingress Controller組件發布記錄，在業務低峰期升級Nginx Ingress Controller組件至v1.11.5及以上版本。
重要
升級完成後，請務必重新啟用Admission Webhook功能。該功能作為Ingress配置的預驗證機制，可有效提升服務可靠性和穩定性。在您建立或更新Ingress配置生效前，Admission Webhook能夠及時提醒Ingress配置中存在的錯誤，避免不必要的麻煩。

應用市場組件

升級到漏洞修複版本前，您可以手動刪除對應的Validation Webhook來進行防範。
Nginx Ingress Controller在v1.11.5版本中修複了相關漏洞。請在控制台應用市場頁面或Helm頁面查看組件發布記錄，並參見升級應用市場ack-ingress-nginx在業務低峰期將組件至v1.11.5及以上版本。