CRITICAL✓ PATCH🇬🇧 English

CVE-2025-1974

RCE w ingress-nginx — dostęp do Secrets całego klastra Kubernetes

CVSS 9.8v3.1pub. 2025-03-25upd. 2026-04-15

Niezautoryzowany atakujący z dostępem do sieci podów może wykonać dowolny kod w kontekście kontrolera ingress-nginx w Kubernetes. W domyślnej instalacji kontroler posiada dostęp do wszystkich Secrets w całym klastrze, co czyni podatność wyjątkowo groźną.

Pokaż oryginał (EN)

A security issue was discovered in Kubernetes where under certain conditions, an unauthenticated attacker with access to the pod network can achieve arbitrary code execution in the context of the ingress-nginx controller. This can lead to disclosure of Secrets accessible to the controller. (Note that in the default installation, the controller can access all Secrets cluster-wide.)

🤖 Analiza AI
Jak działa

Podatność dotyczy kontrolera ingress-nginx działającego w klastrze Kubernetes. Przy spełnieniu określonych warunków atakujący nieposiadający żadnego uwierzytelnienia, lecz mający dostęp do sieci podów (pod network), może doprowadzić do wykonania arbitralnego kodu (RCE) w kontekście procesu kontrolera. Wynika to z nieprawidłowej izolacji uprawnień (CWE-653 — Insufficient Compartmentalization), co pozwala na wyjście poza oczekiwane granice wykonania.

Skutki

Atakujący może wykonać dowolny kod w kontekście kontrolera ingress-nginx oraz uzyskać dostęp do Kubernetes Secrets dostępnych dla kontrolera — w domyślnej konfiguracji obejmuje to wszystkie Secrets w całym klastrze, co może prowadzić do pełnego przejęcia klastra.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środki zaradcze warto rozważyć ograniczenie dostępu sieciowego do sieci podów wyłącznie do zaufanych źródeł oraz ograniczenie uprawnień kontrolera ingress-nginx do Secrets zgodnie z zasadą najmniejszych uprawnień.

Kogo dotyczy

Klastry Kubernetes korzystające z kontrolera ingress-nginx; wersje wskazane w referencjach producenta

Uwagi

Dostępny publicznie exploit na Exploit-DB (exploit/52475) oraz publiczne repozytorium PoC na GitHub. Podatność określana jest potocznie jako 'IngressNightmare'. W domyślnej instalacji Kubernetes kontroler ingress-nginx ma dostęp do wszystkich Secrets cluster-wide, co znacząco zwiększa potencjalny zasięg ataku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEAuth BypassContainer
CWE
Referencje