关键信息 漏洞概述 CVE编号: CVE-2025-4563 标题: Nodes can bypass dynamic resource allocation authorization checks CVSS评分: 2.7 (低) 描述: 在NodeRestriction admission controller中存在一个漏洞,允许节点绕过动态资源分配授权检查。当DynamicResourceAllocation功能启用时,控制器在Pod状态更新时正确验证资源声明请求,但在Pod创建期间未能执行等效验证。这允许攻击者利用此漏洞创建镜像Pod,访问未经授权的动态资源,可能导致权限提升。 影响版本 kube-apiserver: v1.32.0 - v1.32.5, v1.33.0 - v1.33.1 缓解措施 如果不使用DynamicResourceAllocation功能,最安全和简单的操作是关闭API服务器上的该功能。 固定版本 kube-apiserver: >= v1.32.6, >= v1.33.2 检测方法 使用以下命令检查是否启用了该功能: 和 报告与致谢 报告者: Amit Schenkel (@amitschendel) ARMO 修复与协调: Patrick Ohly (@pohly), Jordan Liggett (@liggitt), Balaji S (@saranBalaji90), Rita Zhang (@ritazh), Marko Mudrinić (@xmudrii) 标签 /area/security /kind/bug /committee/security-response lifecycle/frozen official-cve-feed triage/accepted