Vulnerabilidad en Kubernetes 2025
Marzo 2025
Se han detectado varias vulnerabilidades en el producto Kubernetes, específicamente en el componente ingress-nginx. Estas vulnerabilidades pueden permitir a un atacante ejecutar código arbitrario en el contexto del controlador de ingress-nginx y acceder a secretos accesibles al controlador. Es importante actualizar a las versiones más recientes de Kubernetes para evitar estos riesgos.
Análisis
CVE-2025-1097 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8
La vulnerabilidad CVE-2025-1097 se encuentra en el componente ingress-nginx de Kubernetes. Un atacante puede utilizar la anotación `auth-tls-match-cn` en un Ingress para inyectar configuración en nginx, lo que puede llevar a la ejecución de código arbitrario en el contexto del controlador de ingress-nginx y la divulgación de secretos accesibles al controlador.
CVE-2025-1098 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8
La vulnerabilidad CVE-2025-1098 también se encuentra en el componente ingress-nginx de Kubernetes. Un atacante puede utilizar las anotaciones `mirror-target` y `mirror-host` en un Ingress para inyectar configuración arbitraria en nginx, lo que puede llevar a la ejecución de código arbitrario en el contexto del controlador de ingress-nginx y la divulgación de secretos accesibles al controlador.
CVE-2025-24514 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8
La vulnerabilidad CVE-2025-24514 se encuentra en el componente ingress-nginx de Kubernetes. Un atacante puede utilizar la anotación `auth-url` en un Ingress para inyectar configuración en nginx, lo que puede llevar a la ejecución de código arbitrario en el contexto del controlador de ingress-nginx y la divulgación de secretos accesibles al controlador.
CVE-2025-1974 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8
La vulnerabilidad CVE-2025-1974 se encuentra en Kubernetes en general. Un atacante con acceso al pod network puede lograr la ejecución de código arbitrario en el contexto del controlador de ingress-nginx y la divulgación de secretos accesibles al controlador.
Versiones afectadas
- Kubernetes versiones hasta 1.11.4
- Kubernetes versiones hasta 1.12.0
Recomendaciones
Es importante actualizar a las versiones más recientes de Kubernetes para evitar estas vulnerabilidades. Se recomienda actualizar a la versión 1.12.1 o posterior o a la 1.11.5 o posterior.
Workarounds
Si no es posible actualizar de inmediato, se recomienda realizar las siguientes acciones:
- Reforzar políticas de red estrictas para que solo el Kubernetes API Server pueda acceder al "admission controller".
- Deshabilitar temporalmente el componente "admission controller" de Ingress-NGINX si no se puede actualizar de inmediato.
- Si se ha instalado ingress-nginx usando Helm, se ha de reinstalar con controller.admissionWebhooks.enabled=false.
- Si se ha instalado ingress-nginx manualmente, se ha de eliminar la ValidatingWebhookConfiguration llamada ingress-nginx-admission y elimina el argumento --validating-webhook del contenedor ingress-nginx-controller en su Deployment o DaemonSet.
- Recuerdar volver a habilitar el Validating Admission Controller después de actualizar, ya que proporciona salvaguardas importantes para las configuraciones de Ingress.
Referencias
- CVE-2025-1097: https://cve.org/CVERecord?id=CVE-2025-1097
- CVE-2025-1098: https://cve.org/CVERecord?id=CVE-2025-1098
- CVE-2025-24514: https://cve.org/CVERecord?id=CVE-2025-24514
- CVE-2025-1974: https://cve.org/CVERecord?id=CVE-2025-1974
- https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities