Kubernetes C#客户端安全漏洞CVE-2025-970

Kubernetes是Google开源的容器编排引擎，支持自动化部署、大规模可伸缩、应用容器化管理，提供应用部署，规划，更新，维护机制。

一、基本情况

Kubernetes（简称K8s）是一款用于自动部署、扩缩和管理容器化应用程序的开源容器编排平台，拥有庞大的开源社区和丰富的生态系统。

Kubernetes已经形成了众多工具、插件和解决方案，其使企业能够实现更高的资源利用率、更优的业务连续性和稳定性、更快的创新速度。

栋科技漏洞库关注到Kubernetes C#客户端中存在一个安全漏洞，该漏洞现在已经被追踪为CVE-2025-9708，漏洞的CVSS 3.1评分为6.8。

二、漏洞分析

CVE-2025-9708漏洞是Kubernetes C#客户端中存在的一个安全漏洞，漏洞源于自定义证书颁发机构（CA）模式下的证书验证逻辑不当。

Kubernetes C#客户端中存在的这一漏洞，其中证书验证逻辑接受来自任何证书颁发机构（CA）的正确构造的证书，而不正确验证信任链。

漏洞允许恶意参与者提供伪造的证书，并可能拦截或操纵与Kubernetes API服务器的通信，导致中间人（MITM）攻击和API身份伪造风险。

该漏洞影响通过kubeconfig文件的自定义CA证书，以TLS/HTTPS协议连接Kubernetes API服务器的组织，允许恶意攻击者出示伪造证书。

其证书验证逻辑会接受任何CA签发的格式正确的证书，恶意攻击者可随意出示伪造证书，潜在拦截或篡改与Kubernetes API服务器通信。

若使用Kubernetes C#客户端通过kubeconfig中的自定义CA证书连接Kubernetes API服务器，且连接通过不可信网络进行，则处于风险中。

三、影响范围

Kubernetes C# <=17.0.14

四、修复建议

Kubernetes C# >17.0.14

五、参考链接

管理员已设置登录后刷新可查看