CVE-2025-1974: RCE não autenticado no Ingress NGINX Controller ameaça clusters Kubernetes

Em março de 2025, pesquisadores da Wiz Research divulgaram o CVE-2025-1974, um conjunto de vulnerabilidades críticas no Ingress NGINX Controller para Kubernetes — o controlador de ingress mais utilizado em produção. A principal falha (CVSS 9.8) permite a um atacante externo, sem credenciais, enviar requisições diretamente ao admission webhook do controlador e injetar configurações NGINX arbitrárias, resultando em execução de código no contexto do pod do controlador, que normalmente possui acesso a segredos de outros namespaces.

O comprometimento do controlador de ingress pode conceder ao atacante acesso a todos os segredos Kubernetes do cluster, credenciais de cloud (IAM roles, service accounts) e comunicação interna entre serviços. O pesquisadores nomearam o conjunto como "IngressNightmare". Adicionalmente, vulnerabilidades críticas no runc (CVE-2025-31133 e relacionados) foram identificadas no mesmo período, permitindo escape de container em ambientes Docker e Kubernetes.

Administradores de Kubernetes devem atualizar o Ingress NGINX Controller para as versões corrigidas imediatamente. É recomendável revisar as políticas de Network Policy para restringir o acesso ao admission webhook apenas ao servidor de API do Kubernetes, auditar as permissões de RBAC dos service accounts do controlador e verificar logs em busca de requisições anômalas ao webhook.

Fonte: Wiz Research / NVD.