Ingress-nginx CVE-2025-1974: Что вам нужно знать

Мейнтейнеры ingress-nginx выпустили патчи для критических уязвимостей, которые могли бы позволить атакующим захватить кластеры Kubernetes. Ingress-nginx - это популярный программный контроллер входящего трафика, используемый в более чем 40% кластеров Kubernetes, преобразующий требования объектов Ingress в конфигурацию для демона веб-сервера nginx. Четыре из исправленных уязвимостей улучшают способность ingress-nginx обрабатывать конфигурацию nginx, предотвращая неправильное поведение и потенциальный захват кластера. Самая серьезная уязвимость, CVE-2025-1974, позволяет любому на сети Pod эксплуатировать уязвимости инъекции конфигурации через функцию контролера допуска Validating Admission. Эта уязвимость особенно серьезна, потому что она может быть эксплуатирована без учетных данных или административного доступа. Патчи для уязвимостей были выпущены в ingress-nginx v1.12.1 и v1.11.5. Пользователям рекомендуется проверить, используют ли их кластеры ingress-nginx, и обновить до новой версии патча немедленно. Если обновление невозможно, отключение функции контролера допуска Validating Admission может значительно уменьшить риск. Мейнтейнеры ingress-nginx и члены SRC Kubernetes работали с исследователями безопасности, чтобы ответственно раскрыть и исправить уязвимости. Пользователям рекомендуется принять меры немедленно, чтобы защитить свои кластеры и данные.