安全公司Oligo Security公布轻量级遥测代理工具Fluent Bit的一系列漏洞，指出若未及时修复，攻击者可将这些漏洞串联利用，从而接管云端基础设施。

这些漏洞被登记为CVE-2025-12969、CVE-2025-12970、CVE-2025-12972、CVE-2025-12977和CVE-2025-12978，CVSS风险评分介于5.3至9.1之间。攻击者可利用这些漏洞绕过身份验证、进行路径遍历、远程执行任意代码（RCE）、造成服务中断（DoS），以及操控标签，从而中断云端服务、篡改数据、深入访问云端环境与Kubernetes基础设施，并可一并接管事件日志服务。值得注意的是，其中CVE-2025-12972已存在超过8年，意味着在此期间发布的所有Fluent Bit版本均存在相同安全缺陷。

Fluent Bit是一个开源的遥测代理工具，广泛用于收集、处理和转发日志数据，已被部署在数十亿个容器中，总部署次数超过150亿次，仅一周内的拉取次数就超过400万次。该工具广泛应用于AI实验室、银行、汽车制造商，以及AWS、Google Cloud、微软Azure等主流云平台。Oligo Security发现的这些漏洞，使攻击者不仅能通过Fluent Bit在云端执行恶意代码，还能控制日志内容，删除或篡改数据以掩盖攻击痕迹，甚至植入虚假遥测数据和伪造事件，误导安全人员。

对此，Oligo Security与AWS合作，并通过Fluent Bit项目于10月8日发布了修复版本4.1.1。Oligo Security确认，11月12日发布的4.2版和10月12日发布的4.0.12版也已修补了相同漏洞。但Google Cloud与微软Azure尚未发布相关公告。

根据CVSS评分，最严重的漏洞是CVE-2025-12977，该问题出现在用户可控字段的衍生标签中，可绕过清理流程，导致攻击者注入换行符或路径遍历字符，破坏下游日志记录，或实施更广泛的输出攻击，CVSS评分为9.1。

另一个高危漏洞是CVE-2025-12970，由Docker输入导致的内存堆栈缓冲区溢出，攻击者可通过构造超长容器名称，使Fluent Bit崩溃，甚至执行代码并越过其控制主机，风险评分为8.8。

特别的是，上述漏洞的CVE编号并非由Oligo Security或AWS申请，而是由卡内基梅隆大学计算机网络应急响应协调中心（CERT/CC）分配。CERT/CC也发布了安全公告，指出攻击者需具备对Fluent Bit的网络访问权限才能利用这些漏洞。