Impatto Sistemico

Alto (66.41)

Sintesi

Rilevate 5 vulnerabilità critiche che interessano il controller Ingress NGINX per Kubernetes. Tali vulnerabilità, qualora sfruttate, potrebbero permettere ad un utente remoto non autenticato l’esecuzione di codice remoto e l’accesso non autorizzato a informazioni sensibili presenti nei namespace dei cluster target.

Tipologia

• Remote Code Execution
• Information Disclosure

Descrizione e potenziali impatti

Rilevate 5 vulnerabilità critiche che interessano il controller Ingress NGINX per Kubernetes. Tale componente è essenziale per la gestione e l’instradamento del traffico verso i servizi Kubernetes, fungendo da proxy e bilanciatore di carico a livello applicativo. È largamente utilizzato negli ambienti di produzione per instradare le richieste HTTP e HTTPS verso i servizi corretti all’interno di un cluster.

Ricercatori di sicurezza hanno recentemente rilevato 4 vulnerabilità 0-day, di seguito dettagliate.

Le CVE-2025-24514, CVE-2025-1097 e CVE-2025-1098 potrebbero consentire l’iniezione di configurazioni opportunamente predisposte al fine di manipolare il traffico in entrata verso servizi non previsti e/o compromettere la sicurezza del cluster modificando le regole di routing e bilanciamento del carico.

La CVE-2025-24513 riguarda la funzionalità di Admission Controller ed è dovuta ad un’errata convalida degli input utente. Tramite l’utilizzo di file opportunamente predisposti risulterebbe possibile effettuare un directory traversal all’interno del container, causando l’interruzione della disponibilità del servizio e, ove combinata con le altre vulnerabilità, la divulgazione di informazioni sensibili.

La CVE-2025-1974 riguarda il Validating Admission Controller, utilizzato per verificare e validare le richieste di modifica (Validating Admission Webhooks) delle risorse nel cluster. Poiché il controller che effettua tali verifiche – per impostazione predefinita – risulta accessibile senza autenticazione, un utente malevolo potrebbe utilizzare richieste “AdmissionReview” opportunamente predisposte per ottenere accesso ai secrets [1] di Kubernetes. Qualora ottenuti tali dati, risulterebbe possibile ottenere privilegi elevati sul sistema target, effettuare movimenti laterali all’interno del cluster ed eseguire codice arbitrario da remoto.

Per eventuali ulteriori approfondimenti si consiglia di consultare il link all’analisi, disponibile nella sezione Riferimenti.

Prodotti e versioni affette

Ingress NGINX Controller

• 1.12.x, versioni precedenti alla 1.12.1
• 1.11.x, versioni precedenti alla 1.11.5
• tutte le versioni precedenti alla 1.11.0

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza disponibili nella sezione Riferimenti.

[1] I secrets di Kubernetes sono oggetti utilizzati per memorizzare e gestire informazioni sensibili, come credenziali di accesso, certificati SSL/TLS, token e chiavi API, all’interno di un cluster Kubernetes