Ingress-nginx pre Kubernetes opravuje 5 zraniteľností

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Ingress-nginx pre Kubernetes opravuje 5 zraniteľností

Ingress-nginx, kontrolér pre Kubernetes, verziou 1.11.5 a 1.12.1 opravuje 5 zraniteľností [5].

Kubernetes ingress-nginx - secrets leak (CVE-2025-1974) CVSS 9.8 (Critical)

Neautentizovanému vzdialenému útočníkovi s prístupom do siete s podmi je za určitých okolností umožnené zobrazovať citlivé údaje (Secrets), čo môže viesť k spúšťaniu kódu [1].

Zraniteľnosť sa nachádza v produkte Kubernetes ingress-nginx vo verziách (>=1.11 AND <1.11.5) OR (==1.12).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Viac informácií:

CVE-2025-1974 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-653: Improper Isolation or Compartmentalization at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 24. 3. 2025.

Kubernetes ingress-nginx - unauthorized configuration change (CVE-2025-1098, CVE-2025-1097, CVE-2025-24514) CVSS 8.8 (High)

Autentizovanému vzdialenému útočníkovi je umožnené ľubovolne meniť konfiguráciu stroja, čo môže spôsobiť neoprávnený prístup k citlivým údajom (Secrets) a spúšťanie kódu [2][3][4].

Zraniteľnosť sa nachádza v produkte Kubernetes ingress-nginx vo verziách (>=1.11 AND <1.11.5) OR (==1.12).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Viac informácií:

CVE-2025-1098 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CVE-2025-1097 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CVE-2025-24514 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-20: Improper Input Validation at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 24. 3. 2025.

Kubernetes ingress-nginx - directory traversal (CVE-2025-24513) CVSS 4.8 (Medium)

Neautentizovanému vzdialenému útočníkovi je nahrávaním súboru s špeciálne vytvoreným názvom umožnené spôsobiť DoS útok a za určitých okolností pristupovať k citlivým údajom [6].

Zraniteľnosť sa nachádza v produkte Kubernetes ingress-nginx vo verziách (>=1.11 AND <1.11.5) OR (==1.12).

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:L

Viac informácií:

CVE-2025-24513 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-20: Improper Input Validation at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 24. 3. 2025.

Odkazy

Za CESNET-CERTS Martin Krajči dňa 26. 3. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] Ingress-nginx pre Kubernetes opravuje 5 zraniteľností

Kubernetes ingress-nginx - secrets leak (CVE-2025-1974) CVSS 9.8 (Critical)

Kubernetes ingress-nginx - unauthorized configuration change (CVE-2025-1098, CVE-2025-1097, CVE-2025-24514) CVSS 8.8 (High)

Kubernetes ingress-nginx - directory traversal (CVE-2025-24513) CVSS 4.8 (Medium)

Odkazy