官方 CVE Feed
功能狀態:
Kubernetes v1.27 [beta]這是由 Kubernetes 安全響應委員會宣佈的官方 CVE 的社群維護列表。有關更多詳細資訊,請參閱 Kubernetes 安全和披露資訊。
Kubernetes 專案以程式設計方式提供已釋出的安全性問題的 Feed,格式包括 JSON feed 和 RSS feed。您可以透過執行以下命令來訪問它:
curl -Lv https://k8s.io/docs/reference/issues-security/official-cve-feed/index.json
curl -Lv https://k8s.io/docs/reference/issues-security/official-cve-feed/feed.xml
| CVE ID | 問題摘要 | CVE GitHub Issue URL |
|---|---|---|
| CVE-2025-7445 | secrets-store-sync-controller 在日誌中洩露服務賬戶令牌 | #133897 |
| CVE-2025-5187 | 節點可以透過新增 OwnerReference 來刪除自身 | #133471 |
| CVE-2025-7342 | 使用 Kubernetes Image Builder Nutanix 或 OVA 提供程式構建的 VM 映像,如果在使用者未覆蓋的情況下,會使用 Windows 映像的預設憑據 | #133115 |
| CVE-2025-4563 | 節點可以繞過動態資源分配授權檢查 | #132151 |
| CVE-2025-1974 | ingress-nginx admission controller RCE 許可權提升 | #131009 |
| CVE-2025-1098 | ingress-nginx controller 透過未經驗證的 mirror 註解進行配置注入 | #131008 |
| CVE-2025-1097 | ingress-nginx controller 透過未經驗證的 auth-tls-match-cn 註解進行配置注入 | #131007 |
| CVE-2025-24514 | ingress-nginx controller 透過未經驗證的 auth-url 註解進行配置注入 | #131006 |
| CVE-2025-24513 | ingress-nginx controller 認證 secret 檔案路徑遍歷漏洞 | #131005 |
| CVE-2025-1767 | GitRepo Volume 意外本地倉庫訪問 | #130786 |
| CVE-2025-0426 | 節點透過 kubelet Checkpoint API 拒絕服務 | #130016 |
| CVE-2024-9042 | 透過 nodes/*/logs/query API 對 Windows 節點進行命令注入 | #129654 |
| CVE-2024-10220 | 透過 gitRepo volume 任意命令執行 | #128885 |
| CVE-2024-9594 | 使用 Image Builder 和某些提供程式的映像構建過程中使用預設憑據 | #128007 |
| CVE-2024-9486 | 使用 Image Builder 和 Proxmox 提供程式構建的映像使用預設憑據 | #128006 |
| CVE-2024-7646 | Ingress-nginx 註解驗證繞過 | #126744 |
| CVE-2024-7598 | 在名稱空間終止期間透過競爭條件繞過網路限制 | #126587 |
| CVE-2024-5321 | Windows 容器日誌許可權不正確 | #126161 |
| CVE-2024-3744 | azure-file-csi-driver 在日誌中洩露服務賬戶令牌 | #124759 |
| CVE-2024-3177 | 繞過 ServiceAccount admission 外掛強制執行的可掛載 Secrets 策略 | #124336 |
| CVE-2023-5528 | 在 Windows 節點上,in-tree 儲存外掛的輸入不足的清理會導致許可權提升 | #121879 |
| CVE-2023-5044 | 透過 nginx.ingress.kubernetes.io/permanent-redirect 註解進行程式碼注入 | #126817 |
| CVE-2023-5043 | Ingress nginx 註解注入導致任意命令執行 | #126816 |
| CVE-2022-4886 | ingress-nginx 路徑清理可以被繞過 | #126815 |
| CVE-2023-3955 | 在 Windows 節點上,輸入不足的清理會導致許可權提升 | #119595 |
| CVE-2023-3893 | 在 kubernetes-csi-proxy 上,輸入不足的清理會導致許可權提升 | #119594 |
| CVE-2023-3676 | 在 Windows 節點上,輸入不足的清理會導致許可權提升 | #119339 |
| CVE-2023-2431 | seccomp 配置檔案強制執行繞過 | #118690 |
| CVE-2023-2728 | 繞過 ImagePolicyWebhook 施加的策略,並繞過 ServiceAccount admission 外掛施加的可掛載 Secrets 策略 | #118640 |
| CVE-2023-2727 | 繞過 ImagePolicyWebhook 施加的策略,並繞過 ServiceAccount admission 外掛施加的可掛載 Secrets 策略 | #118640 |
| CVE-2023-2878 | secrets-store-csi-driver 在日誌中洩露服務賬戶令牌 | #118419 |
| CVE-2022-3294 | 代理時節點地址不總是被驗證 | #113757 |
| CVE-2022-3162 | 未經授權讀取自定義資源 | #113756 |
| CVE-2022-3172 | 聚合 API 伺服器可能導致客戶端被重定向 (SSRF) | #112513 |
| CVE-2021-25749 | `runAsNonRoot` 邏輯繞過 Windows 容器 | #112192 |
| CVE-2021-25748 | Ingress-nginx `path` 清理可以使用換行符繞過 | #126814 |
| CVE-2021-25746 | Ingress-nginx 指令注入透過註解 | #126813 |
| CVE-2021-25745 | Ingress-nginx `path` 可以指向服務賬戶令牌檔案 | #126812 |
| CVE-2021-25742 | Ingress-nginx 自定義片段允許檢索 ingress-nginx 服務賬戶令牌以及所有名稱空間中的 Secrets | #126811 |
| CVE-2021-25741 | 符號連結交換可允許訪問宿主機檔案系統 | #104980 |
| CVE-2021-25737 | EndpointSlice 驗證中的漏洞可實現宿主機網路劫持 | #102106 |
| CVE-2021-3121 | 收到惡意 protobuf 訊息時程序可能恐慌 | #101435 |
| CVE-2021-25735 | 驗證 Admission Webhook 不會觀察某些之前的欄位 | #100096 |
| CVE-2020-8554 | 中間人攻擊,使用 LoadBalancer 或 ExternalIPs | #97076 |
| CVE-2020-8566 | Ceph RBD adminSecrets 在 logLevel >= 4 時暴露在日誌中 | #95624 |
| CVE-2020-8565 | CVE-2019-11250 的修復不完整,當 logLevel >= 9 時,可能在日誌中洩露令牌 | #95623 |
| CVE-2020-8564 | Docker 配置 secrets 在檔案格式錯誤且 log level >= 4 時洩露 | #95622 |
| CVE-2020-8563 | 使用 vSphere 提供程式時,Secret 在 kube-controller-manager 中洩露 | #95621 |
| CVE-2020-8557 | 節點透過向容器 /etc/hosts 寫入來拒絕服務 | #93032 |
| CVE-2020-8559 | 從受損節點到叢集的許可權提升 | #92914 |
| CVE-2020-8558 | 節點設定允許相鄰主機繞過 localhost 邊界 | #92315 |
| CVE-2020-8555 | kube-controller-manager 中的半盲 SSRF | #91542 |
| CVE-2020-10749 | 僅 IPv4 叢集容易受到 IPv6 惡意路由器通告導致的 MitM 攻擊 | #91507 |
| CVE-2019-11254 | kube-apiserver 拒絕服務漏洞,源於惡意 YAML 負載 | #89535 |
| CVE-2020-8552 | apiserver DoS (oom) | #89378 |
| CVE-2020-8551 | Kubelet API 拒絕服務 | #89377 |
| CVE-2020-8553 | ingress-nginx auth-type basic 註解漏洞 | #126818 |
| CVE-2019-11251 | kubectl cp 符號連結漏洞 | #87773 |
| CVE-2018-1002102 | 未經驗證的重定向 | #85867 |
| CVE-2019-11255 | CSI 卷快照、克隆和縮放功能可能導致未經授權的卷資料訪問或修改 | #85233 |
| CVE-2019-11253 | Kubernetes API Server JSON/YAML 解析易受資源耗盡攻擊 | #83253 |
| CVE-2019-11250 | Bearer 令牌在日誌中顯示(審計發現 TOB-K8S-001) | #81114 |
| CVE-2019-11248 | /debug/pprof 在 kubelet 的 healthz 埠暴露 | #81023 |
| CVE-2019-11249 | CVE-2019-1002101 和 CVE-2019-11246 的修復不完整,kubectl cp 潛在的目錄遍歷 | #80984 |
| CVE-2019-11247 | API 伺服器透過錯誤的範圍允許訪問自定義資源 | #80983 |
| CVE-2019-11245 | 容器 uid 在第一次重啟後或如果映象已拉取到節點上,會更改為 root | #78308 |
| CVE-2019-11243 | rest.AnonymousClientConfig() 不會從 rest.InClusterConfig() 建立的配置中刪除 serviceaccount 憑據 | #76797 |
| CVE-2019-11244 | `kubectl --http-cache=<world-accessible dir>` 建立了可被所有人寫入的快取模式檔案 | #76676 |
| CVE-2019-1002100 | json-patch 請求會耗盡 apiserver 資源 | #74534 |
| CVE-2018-1002105 | kube-apiserver 中的代理請求處理可能留下易受攻擊的 TCP 連線 | #71411 |
| CVE-2018-1002101 | smb 掛載安全問題 | #65750 |
| CVE-2018-1002100 | Kubectl 複製不會檢查超出其目標目錄的路徑。 | #61297 |
| CVE-2017-1002102 | 原子寫入器卷處理允許任意檔案刪除宿主機檔案系統 | #60814 |
| CVE-2017-1002101 | 子路徑卷掛載處理允許任意檔案訪問宿主機檔案系統 | #60813 |
| CVE-2017-1002100 | Azure PV 應為 Private 作用域,而非 Container 作用域 | #47611 |
| CVE-2017-1000056 | PodSecurityPolicy admission 外掛授權不正確 | #43459 |
此 Feed 會自動重新整理,從 CVE 公告到在此 Feed 中可訪問有明顯的但較小的延遲(幾分鐘到幾小時)。
此 Feed 的真相來源是一組 GitHub Issues,透過受控且限制的標籤 official-cve-feed 進行過濾。原始資料儲存在 Google Cloud Bucket 中,僅由少數社群信任成員寫入。
最後修改時間 2023 年 4 月 11 日 太平洋標準時間下午 7:18:將 alpha 切換為 beta (ec9d29c0df)