Se ha revelado un conjunto de cinco deficiencias críticas de seguridad en el controlador de entrada Nginx para Kubernetes que podrían dar lugar a una ejecución de código remoto no autenticado, poniendo más de 6.500 grupos con riesgo inmediato al exponer el componente a Internet público.
Las vulnerabilidades (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 y CVE-2025-1974), se han asignado una puntuación CVSS de 9.8, han sido colectivamente nombrados por codificación de la empresa de seguridad de la nube por la firma de seguridad de la nube Wiz. Vale la pena señalar que las deficiencias no afectan el controlador de entrada Nginx, que es otra implementación del controlador de ingreso para NGINX y NGINX Plus.
«La explotación de estas vulnerabilidades conduce al acceso no autorizado a todos los secretos almacenados en todos los espacios de nombres en el clúster Kubernetes por parte de los atacantes, lo que puede provocar la adquisición de clúster», dijo la compañía en un informe compartido con las noticias de Hacker.
Ingressnightmare, en su núcleo, afecta el componente del controlador de admisión del controlador de entrada Nginx para Kubernetes. Alrededor del 43% de los entornos en la nube son vulnerables a estas vulnerabilidades.
Ingress Nginx Controller utiliza NGINX como un proxy inverso y un equilibrador de carga, lo que permite exponer rutas HTTP y HTTPS desde fuera de un clúster a servicios dentro de él.
La vulnerabilidad aprovecha el hecho de que los controladores de admisión, implementados dentro de un POD de Kubernetes, son accesibles a través de la red sin autenticación.
Específicamente, implica inyectar una configuración de Nginx arbitraria de forma remota enviando un objeto de entrada malicioso (también conocido como solicitudes de admisión) directamente al controlador de admisión, lo que resulta en la ejecución del código en el POD del controlador Nginx del ingreso.
«Los privilegios elevados del controlador de admisión y la accesibilidad de la red sin restricciones crean una ruta de escalada crítica», explicó Wiz. «La explotación de este defecto permite que un atacante ejecute código arbitrario y acceda a todos los secretos de clúster en los espacios de nombres, lo que podría conducir a la adquisición completa del clúster».
Las deficiencias se enumeran a continuación –
- CVE-2025-24514 -inyección de anotación de autenticación
- CVE-2025-1097 -inyección de anotación Auth-TLS-Match-CN
- CVE-2025-1098 – Inyección de espejo uid
- CVE-2025-1974 – Ejecución del código de configuración de Nginx
En un escenario de ataque experimental, un actor de amenaza podría cargar una carga útil maliciosa en forma de una biblioteca compartida a la cápsula utilizando la función de buffer de cuerpo cliente de Nginx, seguido de enviar una solicitud de admisión al controlador de admisión.
La solicitud, a su vez, contiene una de las inyecciones de la Directiva de configuración antes mencionada que hace que la biblioteca compartida se cargue, lo que lleva efectivamente a la ejecución de código remoto.
Hillai Ben-Sasson, investigador de seguridad en la nube de Wiz, dijo a The Hacker News que la cadena de ataque esencialmente implica inyectar configuración maliciosa y utilizarla para leer archivos confidenciales y ejecutar código arbitrario. Posteriormente, esto podría permitir que un atacante abusara de una cuenta de servicio sólida para leer los secretos de Kubernetes y, en última instancia, facilitar la adquisición del clúster.
Después de la divulgación responsable, las vulnerabilidades se han abordado en las versiones del controlador Nginx Ingress 1.12.1, 1.11.5 y 1.10.7.
Se recomienda a los usuarios que se actualicen a la última versión lo antes posible y se aseguren de que el punto final de admisión Webhook no esté expuesto externamente.
Como mitigaciones, se recomienda limitar solo el servidor de la API de Kubernetes para acceder al controlador de admisión y deshabilitar temporalmente el componente del controlador de admisión si no es necesario.
