V ovládači Ingress NGINX Controller pre Kubernetes bolo odhalených päť kritických bezpečnostných nedostatkov, ktoré by mohli viesť k neoverenému vzdialenému spusteniu kódu, čo by vystavilo viac ako 6 500 klastrov bezprostrednému riziku vystavením komponentu verejnému internetu.
Zraniteľnostiam CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 a CVE-2025-1974, ktorým bolo priradené skóre CVSS 9,8.
V ingress-nginx bol objavený bezpečnostný problém, kde je možné použiť anotáciu Ingress „auth-url“ na vloženie konfigurácie do nginx. To môže viesť k ľubovoľnému spusteniu kódu v kontexte kontroléra ingress-nginx.
Uvádza sa, že všetkých 5 zraniteľností ovplyvňuje nasledujúce verzie ovládača Ingress NGINX:
- Verzie <= 1.11.4
- Verzia 1.12.0
Prevádzkovateľom, ktorí používajú Ingress NGINX Controller pre Kubernetes, sa odporúča okamžite aktualizovať na nasledujúce verzie:
- Verzia 1.11.5
- Verzia 1.12.1
Ďalšie informácie je možné nájsť na stránkach:
https://github.com/kubernetes/kubernetes/issues/131006
https://thehackernews.com/2025/03/critical-ingress-nginx-controller.html