HIGHCVE-2025-14727CVSS 8.3

NGINX Ingress Controller 漏洞

平台

kubernetes

组件

nginx-ingress-controller

修复版本

5.3.1

5.2.1000

5.1.1000

5.0.1000

4.999.1000

3.999.1000

AI Confidence: highNVDEPSS 0.2%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-14727 是 NGINX Ingress Controller 中的一个漏洞，源于 nginx.org/rewrite-target 注解验证过程中的缺陷。该漏洞允许攻击者通过精心构造的请求，可能导致未经授权的访问或代码执行。受影响的版本包括 3.0.0 到 5.3.1。已发布补丁版本 5.3.1，建议立即升级。

影响与攻击场景

此漏洞的潜在影响非常严重。攻击者可以利用 rewrite-target 注解验证缺陷，操纵请求的路由，从而可能绕过安全控制，访问敏感数据或执行恶意代码。攻击者可能能够利用此漏洞执行远程代码，从而完全控制受影响的集群。由于 NGINX Ingress Controller 通常用于暴露应用程序服务，因此此漏洞可能导致广泛的数据泄露和系统破坏。攻击者可以利用此漏洞进行横向移动，攻击集群中的其他服务。

利用背景

目前尚未公开发现利用此漏洞的公开 POC。CISA 尚未将其添加到 KEV 目录。由于漏洞的严重性和潜在影响，建议密切关注其发展情况。该漏洞的 EPSS 评级可能为中等或较高，具体取决于集群的暴露程度和安全配置。

哪些人处于风险中翻译中…

Organizations heavily reliant on NGINX Ingress Controller for managing external access to their Kubernetes clusters are at risk. This includes those deploying complex applications with multiple backend services and those who allow users to create or modify Ingress resources without proper validation.

检测步骤翻译中…

• kubernetes / ingress:

kubectl get ingress --all-namespaces -o yaml | grep -i rewrite-target

• kubernetes / audit: Review Kubernetes audit logs for suspicious modifications to Ingress resources, particularly those involving the nginx.org/rewrite-target annotation. • generic web: Inspect NGINX access logs for unusual request patterns or redirects that might indicate exploitation.

攻击时间线

2025-12-17Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.19% (41% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件nginx-ingress-controller

供应商F5

影响范围修复版本

5.3.0 – 5.3.05.3.1

5.2.0 – 5.2.9995.2.1000

5.1.0 – 5.1.9995.1.1000

5.0.0 – 5.0.9995.0.1000

4.0.0 – 4.999.9994.999.1000

3.0.0 – 3.999.9993.999.1000

弱点分类 (CWE)

CWE-22

时间线

已保留2025-12-15
发布日期2025-12-17
修改日期2026-02-26
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将 NGINX Ingress Controller 升级至 5.3.1 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制对 Ingress Controller 的访问，实施严格的输入验证，并监控 Ingress Controller 日志以查找可疑活动。可以使用 Web 应用防火墙 (WAF) 规则来阻止包含恶意 rewrite-target 注解的请求。升级后，请验证配置是否正确，并确认漏洞已成功修复。

修复方法翻译中…

Actualice NGINX Ingress Controller a la versión 5.3.1 o superior. Esto corrige la vulnerabilidad de validación en la anotación nginx.org/rewrite-target.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-14727 — Rewrite Target 漏洞在 NGINX Ingress Controller 中?

CVE-2025-14727 是 NGINX Ingress Controller 中一个安全漏洞，攻击者可以利用 rewrite-target 注解验证缺陷，可能导致未经授权的访问或代码执行。

我是否受到 CVE-2025-14727 在 NGINX Ingress Controller 中影响?

如果您正在使用 NGINX Ingress Controller 的 3.0.0–5.3.1 版本，则可能受到影响。请立即升级至 5.3.1 或更高版本。

我如何修复 CVE-2025-14727 在 NGINX Ingress Controller 中?

最有效的修复方法是升级至 NGINX Ingress Controller 5.3.1 或更高版本。

CVE-2025-14727 是否正在被积极利用?

目前尚未公开发现利用此漏洞的公开 POC，但由于漏洞的严重性，建议密切关注其发展情况。

在哪里可以找到官方 NGINX Ingress Controller 关于 CVE-2025-14727 的安全公告?

请访问 NGINX 官方网站或 Kubernetes 安全公告页面，查找有关 CVE-2025-14727 的最新信息。