01 漏洞详情

影响组件

Ingress-nginx是Kubernetes官方维护的Ingress控制器，基于NGINX反向代理实现，通过监听集群中Ingress资源的定义动态生成并更新NGINX配置，负责将外部HTTP/HTTPS流量路由至集群内部服务，支持负载均衡、TLS终止、路径重写等特性，是Kubernetes生态中应用最广泛的入口流量管理组件之一。

漏洞描述

近日，奇安信CERT监测到官方修复Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974)，该漏洞源于Ingress NGINX Controller没有充分验证ingress配置，攻击者可伪造AdmissionReview请求加载恶意共享库执行任意代码，访问 Kubernetes 集群敏感信息等。目前该漏洞技术细节与POC已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

02 影响范围

影响版本

ingress-nginx <= 1.12.0

ingress-nginx <= 1.11.4

其他受影响组件

无

03 复现情况

目前，奇安信威胁情报中心安全研究员已成功复现Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974)，截图如下：

04 受影响资产情况

奇安信鹰图资产测绘平台数据显示，Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974)关联的国内风险资产总数为1601个，关联IP总数为1544个。全球风险资产分布情况如下：

Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974)关联的全球风险资产总数为10615个，关联IP总数为10582个。全球风险资产分布情况如下：

05 处置建议

安全更新

目前官方已发布安全更新，建议用户尽快升级至最新版本：

https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/

06 参考资料

[1]https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/

[2]https://https//github.com/kubernetes/kubernetes/issues/131009

声明：本文来自奇安信 CERT，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。