Kyverno项目中发现的高危问题CVE-2025-46569分析

近日在Kyverno项目的容器镜像中发现了一个高危问题CVE-2025-46569，该问题存在于项目依赖的Open Policy Agent(OPA)组件中，版本低于1.4.0的OPA服务器存在HTTP路径处理风险。Kyverno作为一个Kubernetes原生策略引擎，其安全性直接影响集群策略的执行效果。

问题技术细节

该问题的核心在于OPA服务器的Data API实现上。当OPA以服务器模式运行时，会暴露一个HTTP Data API用于读写文档。通过Data API请求虚拟文档时，系统会从请求路径构造一个包含单个数据文档引用的Rego查询，然后用于策略评估。

攻击者可以精心构造HTTP请求路径，将Rego代码注入到构建的查询中。虽然注入的代码不能改变返回的数据内容，但可以：

1. 误导请求路径，通过精心设计的Rego代码使查询成功或失败，为探测攻击创造条件
2. 在特定情况下可能导致错误的策略决策结果
3. 构造计算密集型的注入代码，造成系统过载

影响范围

该问题影响所有使用OPA组件且版本低于1.4.0的Kyverno发行版。在检测到的Kyverno release-1.13镜像中，OPA版本为v0.68.0，正处于受影响范围内。

解决方案

项目方已在OPA 1.4.0版本中修复此问题。对于Kyverno用户，建议采取以下措施：

1. 升级到使用OPA 1.4.0或更高版本的Kyverno发行版
2. 如果暂时无法升级，应限制对OPA RESTful API的网络访问，仅允许localhost和可信网络访问
3. 加强API网关的输入验证，过滤可疑的HTTP请求路径

问题风险评估

根据CVSS v3.1评分标准，该问题获得了8.2分(高危)，属于需要优先处理的严重问题。主要风险因素包括：

• 攻击复杂度低，不需要特殊权限
• 可能导致信息泄露和系统可用性问题
• 影响系统核心功能

对于Kubernetes集群管理员来说，及时修复此问题至关重要，因为Kyverno作为策略引擎，其安全性直接影响整个集群的合规状态和安全防护能力。