Kubernetes Remote Code Execution via Nodes/Proxy Get Permission
4 months ago
- #Vulnerability
- #Security
- #Kubernetes
- Kubernetes漏洞允许通过nodes/proxy GET权限在集群的每个Pod上执行代码。
- 该漏洞影响Kubernetes v1.34和v1.35版本,需能够访问Kubelet API(端口10250)。
- 攻击者利用WebSocket绕过CREATE权限检查,可在任意Pod(包括特权系统Pod)中执行命令。
- 已确认69个Helm图表受影响,包括prometheus-community/prometheus和grafana/promtail等知名项目。
- Kubernetes安全团队以‘不予修复’关闭报告,称此行为符合设计预期。
- 建议未来采用KEP-2862(细粒度Kubelet API授权)方案,但目前仍处于Beta阶段未正式发布。
- 提供检测脚本用于检查集群中是否存在易受攻击的服务账户。
- 概念验证(PoC)脚本演示了如何利用nodes/proxy GET权限在Pod中执行命令。
- 漏洞时间线显示:2025年11月1日首次报告,2026年1月26日公开披露。
- 附录列出69个受影响的Helm图表及详细链接供进一步核查。