Numéro de série : AV25-161
Date : 24 mars 2025
Mise à jour : 27 mars 2025
Le 24 mars 2025, Kubernetes a publié un bulletin de sécurité visant à corriger des vulnérabilités liées au produit suivant:
- Kubernetes ingress-nginx controller — versions antérieures à 1.11.5;
- Kubernetes ingress-nginx controller — versions antérieures à 1.12.1.
Cette vulnérabilité permet un accès RCE non authentifié et un large accès aux secrets.
La vulnérabilité est classée CVSS 9.8 et est suivie à l’aide des identifiants suivants : CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 et CVE-2025-1974.
Mise à jour 1
Le 24 mars 2025, des rapports de sources ouvertes ont indiqué qu'un code d'exploitation de type « preuve de concept » est disponible pour vulnérabilité CVE-2025-1974.
Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci-dessous et d’appliquer les mises à jour nécessaires.
- Kubernetes - Ingress-nginx CVE-2025-1974: What You Need to Know (en anglais seulement)
- Kubernetes - controller-v1.12.1
- Kubernetes - controller-v1.12.1 (en anglais seulement)
- Kubernetes - controller-v1.11.5 (en anglais seulement)
- IngressNightmare: 9.8 Critical Unauthenticated Remote Code Execution Vulnerabilities in Ingress NGINX (en anglais seulement)
- AWS - Issues with Kubernetes ingress-nginx controller (Multiple CVEs) (en anglais seulement)
- Microsoft - Kubernetes: Vulnerability in Kubernetes NGINX Ingress Controller (en anglais seulement)
- Google Cloud - Security Bulletins (en anglais seulement)
- Critical Ingress NGINX Controller Vulnerability Allows RCE Without Authentication (en anglais seulement)