Kubernetes 的 Ingress NGINX Controller 中披露了五個嚴重的安全漏洞，可能導致未經認證的遠程代碼執行（RCE）。這些漏洞使得超過 6,500 個集群面臨直接風險，因為它們將組件暴露在公共互聯網上。

這些漏洞（CVE-2025-24513、CVE-2025-24514、CVE-2025-1097、CVE-2025-1098 和 CVE-2025-1974）的 CVSS 評分為 9.8，被云安全公司 Wiz 統稱為 IngressNightmare。值得注意的是，這些漏洞并不影響 NGINX Ingress Controller，后者是 NGINX 和 NGINX Plus 的另一種入口控制器實現。

Wiz 在一份報告中表示：“利用這些漏洞，攻擊者可以未經授權訪問 Kubernetes 集群中所有命名空間存儲的機密信息，從而導致集群被接管。”

漏洞影響范圍與原理

IngressNightmare的核心問題在于影響了 Kubernetes Ingress NGINX Controller 的準入控制器組件。約 43% 的云環境可能受到這些漏洞的影響。

Ingress NGINX Controller 使用 NGINX 作為反向代理和負載均衡器，使得可以從集群外部暴露 HTTP 和 HTTPS 路由到集群內部的服務。

該漏洞利用了 Kubernetes Pod 中部署的準入控制器無需認證即可通過網絡訪問的特性。具體來說，攻擊者可以通過直接向準入控制器發送惡意 Ingress 對象（即 AdmissionReview 請求），遠程注入任意的 NGINX 配置，從而在 Ingress NGINX Controller 的 Pod 上執行代碼。

Wiz 解釋道：“準入控制器的高權限和無限制的網絡訪問性創造了一個關鍵的提權路徑。利用此漏洞，攻擊者可以執行任意代碼并訪問跨命名空間的所有集群機密信息，最終可能導致整個集群被接管。”

漏洞詳情

以下是這些漏洞的具體信息：

• CVE-2025-24514– auth-url 注解注入
• CVE-2025-1097– auth-tls-match-cn 注解注入
• CVE-2025-1098– mirror UID 注入
• CVE-2025-1974– NGINX 配置代碼執行

在實驗性攻擊場景中，威脅行為者可以通過利用 NGINX 的 client-body buffer 功能，將惡意負載以共享庫的形式上傳到 Pod，然后向準入控制器發送 AdmissionReview 請求。該請求包含上述配置指令注入之一，導致共享庫被加載，從而實現遠程代碼執行。

Wiz 的云安全研究員 Hillai Ben-Sasson 告訴 The Hacker News，攻擊鏈的核心在于注入惡意配置，并利用它讀取敏感文件和運行任意代碼。這可能會使攻擊者濫用強大的服務賬戶，讀取 Kubernetes 機密信息，最終實現集群接管。

修復建議與緩解措施

在負責任披露后，這些漏洞已在 Ingress NGINX Controller 的 1.12.1、1.11.5 和 1.10.7 版本中得到修復。建議用戶盡快更新到最新版本，并確保準入 Webhook 端點不會對外暴露。

作為緩解措施，建議僅允許 Kubernetes API 服務器訪問準入控制器，并在不需要時暫時禁用準入控制器組件。