漏洞预警 | Kubernetes Ingress-NGINX Controller 存在未授权远程代码执行漏洞

近日，Ingress-Nginx 项目的维护者们发布了一批关键漏洞的修复补丁，其中包含了高风险漏洞（CVE-2025-29927），攻击者可以利用该漏洞轻易接管你的 Kubernetes 集群。目前有 40% 以上的 Kubernetes 管理员正在使用 ingress-nginx，建议您及时开展安全风险自查。

Ingress-Nginx 是 Kubernetes 生态中基于 Nginx 实现的 ‌Ingress 控制器‌‌，用于管理集群外部的 HTTP(S) 和 WebSocket 流量路由‌。其核心作用是通过定义路由规则，将外部请求按域名、路径等策略转发至集群内部服务，并提供负载均衡、SSL 终止、限流等高级功能‌。

据描述，Ingress-Nginx 在 v1.11.5、v1.12.1 之前的版本中存在一个安全漏洞。攻击者向同一 Pod 内的 NGINX 服务器发送一个长缓冲请求。NGINX 会将该请求缓存为一个临时文件，然后攻击者发送第二个请求至准入验证 Webhook 服务器（Admission Validating Webhook Server）。该 Webhook 会触发 NGINX 生成一个包含恶意配置指令 ssl_engine badso_location;准入 Webhook 会执行 nginx -t 命令来验证配置文件的合法性。由于 NGINX 在加载配置时会直接解析并执行特定指令，攻击者可通过恶意指令在 NGINX 服务器的上下文中触发远程代码执行（RCE），从而完全控制服务器。

漏洞影响的产品和版本：

< v1.11.0  

v1.11.0 - 1.11.4  

v1.12.0

据daydaymap数据显示互联网存在15102个资产，国内风险资产分布情况如下：

临时缓解方案：

启用mTLS认证准入控制器；

定期审计Ingress注解使用情况；

实施Pod安全策略限制挂载敏感目录。

升级修复：

目前官方已发布修复安全补丁

kubectl set image deployment/ingress-nginx-controller \controller=k8s.gcr.io/ingress-nginx/controller:v1.12.1

https://github.com/kubernetes/kubernetes/issues/131009 
https://www.ddpoc.com/DVB-2023-9016.html