CVE-2025-24513

Nome do Software Vulnerável e Versões Afetadas Versões do ingress-nginx anteriores à v1.12.1 Versões do ingress-nginx anteriores à v1.11.5 Versões do ingress-nginx da v1.12.0-beta.0 até antes da v1.12.1

Descrição Foi descoberto um problema de segurança no ingress-nginx onde dados fornecidos pelo atacante são incluídos em um nome de arquivo pelo recurso Admission Controller do ingress-nginx, resultando em atravessamento de diretório dentro do contêiner. Isso poderia resultar em negação de serviço ou, quando combinado com outras vulnerabilidades, divulgação limitada de objetos Secret do cluster. O problema afeta mais de 6.500 clusters e poderia levar à execução remota de código (RCE) não autenticada ou roubo de secrets.

Recomendações Para versões anteriores à v1.12.1, atualize para a v1.12.1 ou posterior para corrigir a vulnerabilidade. Para versões anteriores à v1.11.5, atualize para a v1.11.5 ou posterior para corrigir a vulnerabilidade. Para versões da v1.12.0-beta.0 até antes da v1.12.1, atualize para a v1.12.1 ou posterior para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso ao Admission Controller até que um patch esteja disponível.