安多多支持检测:kubernetes爆出高危漏洞CVE-2025-5187
安多多支持检测:kubernetes爆出高危漏洞CVE-2025-5187
作者:让天下没有难做的安全 | 发布时间:2025年8月14日 21:50
原文链接:微信公众号
已关注
关注
重播 分享 赞
关闭
观看更多
更多
退出全屏
切换到竖屏全屏__退出全屏
让天下没有难做的安全已关注
分享视频
,时长01:17
0/0
00:00/01:17
切换到横屏模式
继续播放
进度条,百分之0
00:00
/
01:17
01:17
全屏
倍速播放中
您的浏览器不支持 video 标签
继续观看
安多多支持检测:kubernetes爆出高危漏洞CVE-2025-5187
观看更多
转载
,
安多多支持检测:kubernetes爆出高危漏洞CVE-2025-5187
让天下没有难做的安全已关注
分享点赞在看
已同步到看一看写下你的评论
https://github.com/kubernetes/kubernetes/issues/133471
实际危害
类似于越权,有前置条件,当然也有危害
攻击者可利用被入侵的节点凭证,通过篡改OwnerReference触发节点对象被垃圾回收自动删除。节点重建后可任意修改labels/taints,绕过调度约束,控制Pod部署位置(例如将敏感Pod调度到受控节点)。
利用条件
集群配置:同时满足
•
启用
NodeRestriction准入控制器•
未启用
OwnerReferencesPermissionEnforcement准入控制器
权限要求:攻击者需持有节点凭据(如kubelet凭证泄露)
版本范围:
•
kube-apiserver ≤ v1.31.11
•
≤ v1.32.7
•
≤ v1.33.3
对腾讯云(TKE)/阿里云(ACK)默认不受影响
•
主流云厂商托管集群默认启用 双重准入控制器(含
OwnerReferencesPermissionEnforcement)•
用户主动禁用
OwnerReferencesPermissionEnforcement的自建集群•
使用EOL旧版本且未升级的托管集群(罕见)