# Kubernetes 准入机制绕过（CVE-2021-25735）

在kube-apiserver中发现一个漏洞，该漏洞可能允许节点更新绕过Validation Admission Webhook。如果攻击者具有足够的权限，并且利用旧 Node 对象属性（例如 Node.NodeSpec 中的字段）实现了验证准入网络钩子，则攻击者可以更新节点的属性，这可能会导致集群受到危害。

影响版本：

* kube-apiserver v1.20.0 至 v1.20.5
* kube-apiserver v1.19.0 至 v1.19.9
* kube-apiserver <= v1.18.17

利用CVE-2021-25735：

通过执行组合操作将changeAllowed标签更改为true并添加一个新标签，触发该漏洞，新的值已被准入控制器覆盖。


```
 labels:  
    test: test  
    changeAllowed: "true"
```

详情可以参考：https://sysdig.com/blog/cve-2021-25735-kubernetes-admission-bypass/

ref：

* https://sysdig.com/blog/cve-2021-25735-kubernetes-admission-bypass/
* https://github.com/darryk10/CVE-2021-25735
* https://nvd.nist.gov/vuln/detail/CVE-2021-25735
* https://cloud.google.com/kubernetes-engine/docs/security-bulletins