Se ha revelado un conjunto de cinco deficiencias críticas de seguridad en el compensador de entrada Nginx para Kubernetes que podrían dar ocasión a una ejecución de código remoto no autenticado, poniendo más de 6.500 grupos con peligro inmediato al exponer el componente a Internet conocido.
Las vulnerabilidades (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 y CVE-2025-1974), se han asignado una puntuación CVSS de 9.8, han sido colectivamente nombrados por codificación de la empresa de seguridad de la nubarrón por la firma de seguridad de la nubarrón Wiz. Vale la pena señalar que las deficiencias no afectan el compensador de entrada Nginx, que es otra implementación del compensador de ingreso para NGINX y NGINX Plus.
“La explotación de estas vulnerabilidades conduce al entrada no acreditado a todos los secretos almacenados en todos los espacios de nombres en el clúster Kubernetes por parte de los atacantes, lo que puede provocar la adquisición de clúster”, dijo la compañía en un referencia compartido con las noticiero de Hacker.
Ingressnightmare, en su núcleo, afecta el componente del compensador de admisión del compensador de entrada Nginx para Kubernetes. Rodeando del 43% de los entornos en la nubarrón son vulnerables a estas vulnerabilidades.
Ingress Nginx Controller utiliza NGINX como un proxy inverso y un equilibrador de carga, lo que permite exponer rutas HTTP y HTTPS desde fuera de un clúster a servicios internamente de él.
La vulnerabilidad aprovecha el hecho de que los controladores de admisión, implementados internamente de un POD de Kubernetes, son accesibles a través de la red sin autenticación.
Específicamente, implica inyectar una configuración de Nginx arbitraria de forma remota enviando un objeto de entrada taimado (incluso conocido como solicitudes de admisión) directamente al compensador de admisión, lo que resulta en la ejecución del código en el POD del compensador Nginx del ingreso.
“Los privilegios elevados del compensador de admisión y la accesibilidad de la red sin restricciones crean una ruta de ascensión crítica”, explicó Wiz. “La explotación de este defecto permite que un atacante ejecute código injusto y acceda a todos los secretos de clúster en los espacios de nombres, lo que podría conducir a la adquisición completa del clúster”.
Las deficiencias se enumeran a continuación –
- CVE-2025-24514 -inyección de anotación de autenticación
- CVE-2025-1097 -inyección de anotación Auth-TLS-Match-CN
- CVE-2025-1098 – Inyección de espejo uid
- CVE-2025-1974 – Ejecución del código de configuración de Nginx
En un escena de ataque positivo, un actor de amenaza podría cargar una carga útil maliciosa en forma de una biblioteca compartida a la cápsula utilizando la función de buffer de cuerpo cliente de Nginx, seguido de mandar una solicitud de admisión al compensador de admisión.
La solicitud, a su vez, contiene una de las inyecciones de la Directiva de configuración antiguamente mencionada que hace que la biblioteca compartida se cargue, lo que lleva efectivamente a la ejecución de código remoto.
Hillai Ben-Sasson, investigador de seguridad en la nubarrón de Wiz, dijo a The Hacker News que la dependencia de ataque esencialmente implica inyectar configuración maliciosa y utilizarla para adivinar archivos confidenciales y ejecutar código injusto. Luego, esto podría permitir que un atacante abusara de una cuenta de servicio sólida para adivinar los secretos de Kubernetes y, en última instancia, allanar la adquisición del clúster.
A posteriori de la divulgación responsable, las vulnerabilidades se han abordado en las versiones del compensador Nginx Ingress 1.12.1, 1.11.5 y 1.10.7.
Se recomienda a los usuarios que se actualicen a la última traducción lo antiguamente posible y se aseguren de que el punto final de admisión Webhook no esté expuesto externamente.
Como mitigaciones, se recomienda jalonar solo el servidor de la API de Kubernetes para ceder al compensador de admisión y deshabilitar temporalmente el componente del compensador de admisión si no es necesario.
