关键信息 漏洞概述 CVE编号: CVE-2025-5187 标题: Nodes can delete themselves by adding an OwnerReference CVSS评分: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:C/A:L - Medium (6.7) 描述: 在NodeRestriction admission controller中存在一个漏洞,允许节点用户通过将自己作为OwnerReference附加到集群范围的资源来删除相应的节点对象。如果OwnerReference资源不存在或稍后被删除,则给定的节点对象将通过垃圾收集删除。 影响版本 kube-apiserver = v1.31.12 kube-apiserver >= v1.32.8 kube-apiserver >= v1.33.4 检测方法 通过分析API审计日志检测对节点用户发出的节点补丁请求,这些请求修改了OwnerReferences。 报告与修复 报告者: Paul Vossel 修复者: Sergey Kanzhelev, Jordan Liggitt, Marko Madunic