CVE-2025-1974

Versões do ingress-nginx anteriores à 1.12.1, desde a 1.12.0-beta.0 até antes da 1.12.1

O ingress-nginx apresenta uma vulnerabilidade crítica de execução remota de código (RCE) (CVE-2025-1974) com pontuação CVSS de 9.8. Esta falha permite que atacantes não autenticados com acesso à rede de pods executem código arbitrário dentro do controlador ingress-nginx. A exploração bem-sucedida pode levar à tomada de controle total do cluster e à exposição de segredos sensíveis. A vulnerabilidade decorre de isolamento ou compartimentalização inadequados dentro do controlador. Um exploit de prova de conceito (PoC) está disponível publicamente. Esta vulnerabilidade está sendo ativamente explorada. O Controlador de Admissão, escutando na porta 8443, é um componente chave afetado por esta questão.

Atualize o ingress-nginx para a versão 1.12.1 ou posterior. Restrinja o acesso de rede ao Controlador de Admissão, especificamente à porta 8443. Implemente segmentação de rede, autenticação forte e políticas de autorização para serviços na porta 8443. Audite e corrija vulnerabilidades regularmente. Remova quaisquer anotações server-snippet das suas configurações de ingress.