Kubernetes社区披露了Nginx Ingress相关的一系列安全漏洞，包括CVE-2025-1097、CVE-2025-1098、CVE-2025-1974、CVE-2025-24513、CVE-2025-24514等。

漏洞详情

影响范围

受漏洞影响的开源NGINX Ingress控制器版本范围如下：

• <v1.11.5
• v1.12.0

开源NGINX Ingress控制器在下列版本中修复了该问题：

• v1.11.5
• v1.12.1

判断方法

未安装CCE Ingress Nginx Controller组件的集群不在上述漏洞的影响范围内。您可以参见以下内容查询集群是否安装了该组件，组件版本发布记录请见 CCE Ingress NGINX Controller 说明。

说明：

容器引擎CCE针对Nginx Ingress安全漏洞进行了修复，使用CCE Ingress Nginx Controller组件在2025年04月02日后创建的实例不受漏洞影响。

方法1:

1. 登录百度智能云控制台，在左侧导航栏选择集群列表。
2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择运维管理 > 组件管理。
3. 在组件管理页面，您可以搜索并定位CCE Ingress Nginx Controller组件，在组件卡片上查看组件是否已安装以及组件的当前版本。

方法2:

1. 登录百度智能云CCE控制台，在左侧导航栏选择Helm > Helm实例。
2. 在Helm实例页面，选择目标集群，查看是否有cce-ingress-nginx-controller模板部署的实例，其中模板版本为当前CCE Ingress Nginx Controller组件的版本。

修复方案

在升级到漏洞修复版本前，您可以手动关闭CCE Ingress Nginx Controller组件的Admission Webhook功能以降低风险。

1. 登录百度智能云CCE控制台，在左侧导航栏选择Helm > Helm实例。
2. 在Helm实例页面，选择cce-ingress-nginx-controller模板部署的目标实例，单击更新操作。
3. 在更新页面增加以下参数完成关闭Admission Webhook功能。

controller:
admissionWebhooks:
  enabled: false //false表示关闭，true表示开启

CCE Ingress Nginx Controller在 v4.11.5 版本修复了相关漏洞，更多信息请见 CCE Ingress NGINX Controller 说明，请在业务低峰期将组件升级至 v4.11.5 及以上版本，若需升级请 提工单。

重要：

升级完成后，请务必重新启用Admission Webhook功能。该功能作为Ingress配置的预验证机制，可有效提升服务可靠性和稳定性。在您创建或更新Ingress配置生效前，Admission Webhook能够及时提醒Ingress配置中存在的错误，避免不必要的麻烦。