Kubernetes 服务器端请求伪造漏洞(CVE-2025-13281)预警
1、基本情况
Kubernetes是一个开源的容器编排平台,用于自动化应用程序的部署、扩展与管理。它通过 kube-apiserver 提供 RESTful 接口,统一管控集群状态、配置与策略,是云原生架构的核心基础设施。
近日,监测发现 Kubernetes 发布安全公告,修复了一处 Kubernetes 服务器端请求伪造漏洞(CVE-2025-13281),Kubernetes kube-apiserver 在解析匿名请求与 webhook 令牌认证链的交互过程中存在逻辑缺陷,攻击者可在无需任何集群凭据的情况下构造包含恶意 Authorization:Bearer 头与空匿名用户的请求绕过正常的 TokenReview校验最终被系统误判为已认证身份。
鉴于该漏洞影响范围较大,建议广大用户尽快做好自查及防护。
2、影响范围
受影响版本
⚫ kube-controller-manager <= v1.30.14
⚫ kube-controller-manager <= v1.31.14
⚫ kube-controller-manager <= v1.32.9
⚫ kube-controller-manager <= v1.33.5
⚫ kube-controller-manager <= v1.34.1
3、处置建议
官方已发布安全补丁,请及时升级至最新版本。
下载地址:https://github.com/kubernetes/kubernetes/releases
4、参考链接
1) http://www.openwall.com/lists/oss-security/2025/12/01/4