偵測

Kubernetes Ingress NGINX 控制器任意程式碼執行 (CVE-2025-1974)

critical Nessus Plugin ID 233656

語言:

概要

遠端 Kubernetes Ingress NGINX 控制器受到一個任意程式碼執行弱點影響。

說明

在 Kubernetes 中發現一個安全性問題,在某些情況下,具有 pod 網路存取權且未經驗證的攻擊者可在 ingress-nginx 控制器內容中實現任意程式碼執行。這可能導致控制器可存取的密碼遭洩漏。(請注意,在預設安裝中,控制器可存取叢集範圍內的所有密碼。)

解決方案

根據廠商公告套用更新。

另請參閱

http://www.nessus.org/u?d57d9736

Plugin 詳細資訊

嚴重性: Critical

ID: 233656

檔案名稱: kubernetes_cve-2025-1974.nbin

版本: 1.3

類型: remote

系列: CGI abuses

已發布: 2025/4/1

已更新: 2025/7/14

支援的感應器: Nessus

風險資訊

VPR

風險因素: Critical

分數: 9.0

CVSS v2

風險因素: Critical

基本分數: 10

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2025-1974

CVSS v3

風險因素: Critical

基本分數: 9.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

弱點資訊

CPE: cpe:/a:kubernetes:nginx_ingress_controller

必要的 KB 項目: installed_sw/Ingress NGINX Admission Controller

由 Nessus 利用: true

修補程式發佈日期: 2025/3/25

弱點發布日期: 2025/3/24

參考資訊

CVE: CVE-2025-1974