针对 Kubernetes Ingress-NGINX 控制器中一个被追踪为 CVE-2025-1974 的严重远程代码执行漏洞的概念验证（PoC）攻击方法已出现。

由 WiZ 发现的这个漏洞影响了验证 Webhook 组件，可能会让攻击者在受影响的系统上执行任意代码，甚至有可能危及整个 Kubernetes 集群的安全。

该漏洞影响 Ingress-NGINX 控制器 v1.11.3 版本以及可能更早的版本。

它的攻击目标是运行在 8443 端口的验证 Webhook 服务器，该服务器负责在将 Ingress 资源部署到集群之前对其进行验证和处理。

在一个受控的 Minikube 环境设置中所展示的这个漏洞，说明了恶意行为者是如何绕过安全措施并在基础系统上运行命令的。

鉴于 Ingress-NGINX 是 Kubernetes 系统中使用最为广泛的入口控制器之一，这个漏洞尤其值得关注。各组织机构应立即更新其部署的相关软件。

概念验证演示

这种攻击利用了控制器的验证 Webhook 功能。概念验证表明，攻击者可以访问 Webhook 服务器，并发送一个精心构造的包含恶意 Nginx 配置的准入请求（AdmissionRequest）。

该漏洞之所以存在，是因为控制器的 CheckIngress 函数会执行，这就通过被篡改的配置文件为命令注入创造了机会。

一个概念验证（PoC）已在 GitHub 上发布，它展示了如何部署一个存在漏洞的 Pod。

可以通过检查 Pod 的规格来识别存在漏洞的控制器，尤其要查找那些使用 8443 端口上的验证 Webhook 的控制器。当执行攻击时，控制器日志会显示对潜在恶意配置的验证成功。

影响及缓解措施

该漏洞使得攻击者能够注入恶意配置，并有可能通过操纵准入审查（AdmissionReview）请求来实现远程代码执行。

运行受影响的 Ingress-NGINX 控制器的组织机构应该：

1.立即升级到最新的已打补丁的版本。

2.实施网络策略，限制对验证 Webhook 的访问。

3.监控控制器日志，查看是否存在可疑的准入请求（AdmissionRequest）活动。

4.如果无法立即打补丁，可以考虑暂时禁用验证 Webhook。

Kubernetes 安全特别兴趣小组（SIG）已经确认了该漏洞，并正在与 Ingress-NGINX 的维护者合作，以确保提供正确的补丁和缓解指导。

这次攻击凸显了在 Kubernetes 环境中进行密切监控和及时打补丁的重要性，尤其是对于像入口控制器这类处理外部输入的组件来说更是如此。