Origine : bjCSIRT

Numéro : 2025/ALERTE/028

Date de l’alerte : 28/03/2025

APERÇU :

Une vulnérabilité critique identifiée dans Ingress NGINX Controller permettrait à un acteur malveillant d’exécuter du code arbitraire à distance. 

DESCRIPTION :

Ingress NGINX est un contrôleur Ingress de Kubernetes qui utilise NGINX comme proxy inverse et comme équilibreur de charge. 

Ce contrôleur est affecté par une vulnérabilité libellée CVE-2025-1974 qui permettrait à un acteur malveillant d’exécuter du code arbitraire à distance via la fonctionnalité Validating Admission Controller en envoyant un objet ingress malveillant directement au contrôleur d’admission. 

Cette vulnérabilité est classée critique avec un score de sévérité de 9.8 selon le CVSS v3.1. 

IMPACT :

• Exécution de code arbitraire à distance ; 

• Atteinte à la confidentialité des données ; 

• Atteinte à l’intégrité des données. 

 SYSTÈMES AFFECTÉS : 

Ingress NGINX Controller versions 1.12.0, 1.11.4 et antérieures 

MESURES À PRENDRE :

Mettre à jour Ingress NGINX Controller vers sa dernière version disponible. 

RÉFÉRENCES :

• https://github.com/kubernetes/ingress-nginx 

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-1974 

• https://docs.nginx.com/nginx-ingress-controller/overview/about/ 

• https://www.rapid7.com/blog/post/2025/03/25/etr-multiple-vulnerabilities-in-ingress-nginx-controller-for-kubernetes/ 

• https://www.cve.org/CVERecord?id=CVE-2025-1974