官方 CVE Feed
功能状态:
Kubernetes v1.27 [beta]这是由 Kubernetes 安全响应委员会宣布的官方 CVE 的社区维护列表。有关更多详细信息,请参阅 Kubernetes 安全和披露信息。
Kubernetes 项目以编程方式提供已发布的安全性问题的 Feed,格式包括 JSON feed 和 RSS feed。您可以通过执行以下命令来访问它:
curl -Lv https://k8s.io/docs/reference/issues-security/official-cve-feed/index.json
curl -Lv https://k8s.io/docs/reference/issues-security/official-cve-feed/feed.xml
| CVE ID | 问题摘要 | CVE GitHub Issue URL |
|---|---|---|
| CVE-2025-7445 | secrets-store-sync-controller 在日志中泄露服务账户令牌 | #133897 |
| CVE-2025-5187 | 节点可以通过添加 OwnerReference 来删除自身 | #133471 |
| CVE-2025-7342 | 使用 Kubernetes Image Builder Nutanix 或 OVA 提供程序构建的 VM 映像,如果在用户未覆盖的情况下,会使用 Windows 映像的默认凭据 | #133115 |
| CVE-2025-4563 | 节点可以绕过动态资源分配授权检查 | #132151 |
| CVE-2025-1974 | ingress-nginx admission controller RCE 权限提升 | #131009 |
| CVE-2025-1098 | ingress-nginx controller 通过未经验证的 mirror 注解进行配置注入 | #131008 |
| CVE-2025-1097 | ingress-nginx controller 通过未经验证的 auth-tls-match-cn 注解进行配置注入 | #131007 |
| CVE-2025-24514 | ingress-nginx controller 通过未经验证的 auth-url 注解进行配置注入 | #131006 |
| CVE-2025-24513 | ingress-nginx controller 认证 secret 文件路径遍历漏洞 | #131005 |
| CVE-2025-1767 | GitRepo Volume 意外本地仓库访问 | #130786 |
| CVE-2025-0426 | 节点通过 kubelet Checkpoint API 拒绝服务 | #130016 |
| CVE-2024-9042 | 通过 nodes/*/logs/query API 对 Windows 节点进行命令注入 | #129654 |
| CVE-2024-10220 | 通过 gitRepo volume 任意命令执行 | #128885 |
| CVE-2024-9594 | 使用 Image Builder 和某些提供程序的映像构建过程中使用默认凭据 | #128007 |
| CVE-2024-9486 | 使用 Image Builder 和 Proxmox 提供程序构建的映像使用默认凭据 | #128006 |
| CVE-2024-7646 | Ingress-nginx 注解验证绕过 | #126744 |
| CVE-2024-7598 | 在命名空间终止期间通过竞争条件绕过网络限制 | #126587 |
| CVE-2024-5321 | Windows 容器日志权限不正确 | #126161 |
| CVE-2024-3744 | azure-file-csi-driver 在日志中泄露服务账户令牌 | #124759 |
| CVE-2024-3177 | 绕过 ServiceAccount admission 插件强制执行的可挂载 Secrets 策略 | #124336 |
| CVE-2023-5528 | 在 Windows 节点上,in-tree 存储插件的输入不足的清理会导致权限提升 | #121879 |
| CVE-2023-5044 | 通过 nginx.ingress.kubernetes.io/permanent-redirect 注解进行代码注入 | #126817 |
| CVE-2023-5043 | Ingress nginx 注解注入导致任意命令执行 | #126816 |
| CVE-2022-4886 | ingress-nginx 路径清理可以被绕过 | #126815 |
| CVE-2023-3955 | 在 Windows 节点上,输入不足的清理会导致权限提升 | #119595 |
| CVE-2023-3893 | 在 kubernetes-csi-proxy 上,输入不足的清理会导致权限提升 | #119594 |
| CVE-2023-3676 | 在 Windows 节点上,输入不足的清理会导致权限提升 | #119339 |
| CVE-2023-2431 | seccomp 配置文件强制执行绕过 | #118690 |
| CVE-2023-2728 | 绕过 ImagePolicyWebhook 施加的策略,并绕过 ServiceAccount admission 插件施加的可挂载 Secrets 策略 | #118640 |
| CVE-2023-2727 | 绕过 ImagePolicyWebhook 施加的策略,并绕过 ServiceAccount admission 插件施加的可挂载 Secrets 策略 | #118640 |
| CVE-2023-2878 | secrets-store-csi-driver 在日志中泄露服务账户令牌 | #118419 |
| CVE-2022-3294 | 代理时节点地址不总是被验证 | #113757 |
| CVE-2022-3162 | 未经授权读取自定义资源 | #113756 |
| CVE-2022-3172 | 聚合 API 服务器可能导致客户端被重定向 (SSRF) | #112513 |
| CVE-2021-25749 | `runAsNonRoot` 逻辑绕过 Windows 容器 | #112192 |
| CVE-2021-25748 | Ingress-nginx `path` 清理可以使用换行符绕过 | #126814 |
| CVE-2021-25746 | Ingress-nginx 指令注入通过注解 | #126813 |
| CVE-2021-25745 | Ingress-nginx `path` 可以指向服务账户令牌文件 | #126812 |
| CVE-2021-25742 | Ingress-nginx 自定义片段允许检索 ingress-nginx 服务账户令牌以及所有命名空间中的 Secrets | #126811 |
| CVE-2021-25741 | 符号链接交换可允许访问宿主机文件系统 | #104980 |
| CVE-2021-25737 | EndpointSlice 验证中的漏洞可实现宿主机网络劫持 | #102106 |
| CVE-2021-3121 | 收到恶意 protobuf 消息时进程可能恐慌 | #101435 |
| CVE-2021-25735 | 验证 Admission Webhook 不会观察某些之前的字段 | #100096 |
| CVE-2020-8554 | 中间人攻击,使用 LoadBalancer 或 ExternalIPs | #97076 |
| CVE-2020-8566 | Ceph RBD adminSecrets 在 logLevel >= 4 时暴露在日志中 | #95624 |
| CVE-2020-8565 | CVE-2019-11250 的修复不完整,当 logLevel >= 9 时,可能在日志中泄露令牌 | #95623 |
| CVE-2020-8564 | Docker 配置 secrets 在文件格式错误且 log level >= 4 时泄露 | #95622 |
| CVE-2020-8563 | 使用 vSphere 提供程序时,Secret 在 kube-controller-manager 中泄露 | #95621 |
| CVE-2020-8557 | 节点通过向容器 /etc/hosts 写入来拒绝服务 | #93032 |
| CVE-2020-8559 | 从受损节点到集群的权限提升 | #92914 |
| CVE-2020-8558 | 节点设置允许相邻主机绕过 localhost 边界 | #92315 |
| CVE-2020-8555 | kube-controller-manager 中的半盲 SSRF | #91542 |
| CVE-2020-10749 | 仅 IPv4 集群容易受到 IPv6 恶意路由器通告导致的 MitM 攻击 | #91507 |
| CVE-2019-11254 | kube-apiserver 拒绝服务漏洞,源于恶意 YAML 负载 | #89535 |
| CVE-2020-8552 | apiserver DoS (oom) | #89378 |
| CVE-2020-8551 | Kubelet API 拒绝服务 | #89377 |
| CVE-2020-8553 | ingress-nginx auth-type basic 注解漏洞 | #126818 |
| CVE-2019-11251 | kubectl cp 符号链接漏洞 | #87773 |
| CVE-2018-1002102 | 未经验证的重定向 | #85867 |
| CVE-2019-11255 | CSI 卷快照、克隆和缩放功能可能导致未经授权的卷数据访问或修改 | #85233 |
| CVE-2019-11253 | Kubernetes API Server JSON/YAML 解析易受资源耗尽攻击 | #83253 |
| CVE-2019-11250 | Bearer 令牌在日志中显示(审计发现 TOB-K8S-001) | #81114 |
| CVE-2019-11248 | /debug/pprof 在 kubelet 的 healthz 端口暴露 | #81023 |
| CVE-2019-11249 | CVE-2019-1002101 和 CVE-2019-11246 的修复不完整,kubectl cp 潜在的目录遍历 | #80984 |
| CVE-2019-11247 | API 服务器通过错误的范围允许访问自定义资源 | #80983 |
| CVE-2019-11245 | 容器 uid 在第一次重启后或如果镜像已拉取到节点上,会更改为 root | #78308 |
| CVE-2019-11243 | rest.AnonymousClientConfig() 不会从 rest.InClusterConfig() 创建的配置中删除 serviceaccount 凭据 | #76797 |
| CVE-2019-11244 | `kubectl --http-cache=<world-accessible dir>` 创建了可被所有人写入的缓存模式文件 | #76676 |
| CVE-2019-1002100 | json-patch 请求会耗尽 apiserver 资源 | #74534 |
| CVE-2018-1002105 | kube-apiserver 中的代理请求处理可能留下易受攻击的 TCP 连接 | #71411 |
| CVE-2018-1002101 | smb 挂载安全问题 | #65750 |
| CVE-2018-1002100 | Kubectl 复制不会检查超出其目标目录的路径。 | #61297 |
| CVE-2017-1002102 | 原子写入器卷处理允许任意文件删除宿主机文件系统 | #60814 |
| CVE-2017-1002101 | 子路径卷挂载处理允许任意文件访问宿主机文件系统 | #60813 |
| CVE-2017-1002100 | Azure PV 应为 Private 作用域,而非 Container 作用域 | #47611 |
| CVE-2017-1000056 | PodSecurityPolicy admission 插件授权不正确 | #43459 |
此 Feed 会自动刷新,从 CVE 公告到在此 Feed 中可访问有明显的但较小的延迟(几分钟到几小时)。
此 Feed 的真相来源是一组 GitHub Issues,通过受控且限制的标签 official-cve-feed 进行过滤。原始数据存储在 Google Cloud Bucket 中,仅由少数社区信任成员写入。
最后修改时间 2023 年 4 月 11 日 太平洋标准时间下午 7:18:将 alpha 切换为 beta (ec9d29c0df)