Una serie di cinque carenze di sicurezza critiche sono state divulgate nel Controller Nginx ingresso per Kubernetes Ciò potrebbe comportare un’esecuzione non autenticata del codice remoto, mettendo oltre 6.500 cluster a rischio immediato esponendo il componente a Web pubblico.
Le vulnerabilità (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 e CVE-2025-1974), hanno assegnato un punteggio CVSS di 9.8, sono stati collettivamente in codice di IngressingGeri di Crowenaming da parte di Wiz. Vale la pena notare che le carenze non hanno un impatto Controller di ingresso Nginxche è un’altra implementazione del controller di ingresso per NGINX e NGINX Plus.
“Lo sfruttamento di queste vulnerabilità porta advert un accesso non autorizzato a tutti i segreti memorizzati in tutti gli spazi dei nomi nel cluster di Kubernetes dagli aggressori, il che può comportare l’acquisizione di cluster”, ha detto la società in un rapporto condiviso con le notizie di hacker.
Ingressightmare, al centro, influisce sul Controller di ammissione Componente del controller Ingress Nginx per Kubernetes. Circa il 43% degli ambienti cloud è vulnerabile a queste vulnerabilità.
INGRESS NGINX Controller utilizza NGINX come proxy inverso e bilanciamento del carico, consentendo di esporre le rotte HTTP e HTTPS dall’esterno di un cluster ai servizi al suo interno.
La vulnerabilità sfrutta il fatto che i controller di ammissione, distribuiti all’interno di un pod Kubernetes, sono accessibili sulla rete senza autenticazione.
In particolare, implica l’iniezione di una configurazione arbitraria Nginx in remoto inviando un oggetto di ingresso dannoso (noto anche come richieste di ammissioneReview) direttamente al controller di ammissione, con conseguente esecuzione del codice sul pod del controller di Ingress Nginx.
“I privilegi elevati del controller di ammissione e l’accessibilità della rete senza restrizioni creano un percorso di escalation critico”, ha spiegato Wiz. “Lo sfruttamento di questo difetto consente a un utente malintenzionato di eseguire codice arbitrario e accedere a tutti i segreti del cluster tra gli spazi dei nomi, che potrebbero portare a un acquisizione completa del cluster.”
Le carenze sono elencate di seguito –
- CVE-2025-24513 (Punteggio CVSS: 4.8)-Una vulnerabilità di convalida enter impropria che potrebbe comportare un attraversamento della listing all’interno del contenitore, portando alla negazione del servizio (DOS) o alla divulgazione limitata di oggetti segreti dal cluster quando combinato con altre vulnerabilità
- CVE-2025-24514 (Punteggio CVSS: 8.8)-L’annotazione per ingressi per auto-uRL può essere utilizzata per iniettare la configurazione in NGINX, con conseguente esecuzione di codice arbitrario nel contesto del controller Ingress-Ninx e divulgazione di segreti accessibili al controller
- CVE-2025-1097 (Punteggio CVSS: 8.8)-L’annotazione Ingress Auth-TLS-Match-CN può essere utilizzata per iniettare la configurazione in NGINX, con conseguente esecuzione arbitraria del codice nel contesto del controller Ingress-Nginx e divulgazione di segreti accessibili al controller
- CVE-2025-1098 (Punteggio CVSS: 8.8)-Le annotazioni di ingresso a bersaglio specchio e ossesso si possono essere utilizzate per iniettare una configurazione arbitraria in NGINX, con conseguente esecuzione arbitraria del codice nel contesto del controller Ingress-Ninx
- CVE-2025-1974 (Punteggio CVSS: 9.8)-Un utente malintenzionato non autenticato con accesso alla rete POD può raggiungere l’esecuzione del codice arbitrario nel contesto del controller Ingress-Ninx in determinate condizioni
In uno situation di attacco sperimentale, un attore di minaccia potrebbe caricare un payload dannoso sotto forma di una libreria condivisa sul POD utilizzando la funzionalità buffer client-body di Nginx, seguito dall’invio di una richiesta di ammissione areview al controller di ammissione.
La richiesta, a sua volta, contiene una delle iniezioni della direttiva di configurazione di cui sopra che causano la caricamento della libreria condivisa, portando efficacemente all’esecuzione del codice remoto.
Hillai Ben-Sasson, ricercatore della sicurezza del cloud di Wiz, ha dichiarato a The Hacker Information che la catena di attacco prevede essenzialmente l’iniezione di una configurazione dannosa e l’utilizzo per leggere file sensibili ed eseguire codice arbitrario. Ciò potrebbe successivamente consentire a un utente malintenzionato di abusare di un forte account di servizio al effective di leggere i segreti di Kubernetes e alla effective facilitare l’acquisizione di cluster.
A seguito di una divulgazione responsabile, le vulnerabilità sono state affrontate Controller Nginx ingresso Versioni 1.12.1, 1.11.5 e 1.10.7.
Si consiglia agli utenti di aggiornare l’ultima versione il prima possibile e assicurarsi che il Endpoint Webhook di ammissione non è esposto esternamente.
Come mitigazioni, si consiglia di limitare solo il server API di Kubernetes per accedere al controller di ammissione e disabilitare temporaneamente il componente del controller di ammissione se non è necessario.
