Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Alertas

Vulnerabilidad en Kubernetes 2025

27 Mar 2025

Marzo 2025

Se han detectado varias vulnerabilidades en el producto Kubernetes, específicamente en el componente ingress-nginx. Estas vulnerabilidades pueden permitir a un atacante ejecutar código arbitrario en el contexto del controlador de ingress-nginx y acceder a secretos accesibles al controlador. Es importante actualizar a las versiones más recientes de Kubernetes para evitar estos riesgos.

Análisis

CVE-2025-1097 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8

La vulnerabilidad CVE-2025-1097 se encuentra en el componente ingress-nginx de Kubernetes. Un atacante puede utilizar la anotación `auth-tls-match-cn` en un Ingress para inyectar configuración en nginx, lo que puede llevar a la ejecución de código arbitrario en el contexto del controlador de ingress-nginx y la divulgación de secretos accesibles al controlador.

CVE-2025-1098 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8

La vulnerabilidad CVE-2025-1098 también se encuentra en el componente ingress-nginx de Kubernetes. Un atacante puede utilizar las anotaciones `mirror-target` y `mirror-host` en un Ingress para inyectar configuración arbitraria en nginx, lo que puede llevar a la ejecución de código arbitrario en el contexto del controlador de ingress-nginx y la divulgación de secretos accesibles al controlador.

CVE-2025-24514 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8

La vulnerabilidad CVE-2025-24514 se encuentra en el componente ingress-nginx de Kubernetes. Un atacante puede utilizar la anotación `auth-url` en un Ingress para inyectar configuración en nginx, lo que puede llevar a la ejecución de código arbitrario en el contexto del controlador de ingress-nginx y la divulgación de secretos accesibles al controlador.

CVE-2025-1974 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8

La vulnerabilidad CVE-2025-1974 se encuentra en Kubernetes en general. Un atacante con acceso al pod network puede lograr la ejecución de código arbitrario en el contexto del controlador de ingress-nginx y la divulgación de secretos accesibles al controlador.

Versiones afectadas

  • Kubernetes versiones hasta 1.11.4

  • Kubernetes versiones hasta 1.12.0

Recomendaciones

Es importante actualizar a las versiones más recientes de Kubernetes para evitar estas vulnerabilidades. Se recomienda actualizar a la versión 1.12.1 o posterior o a la 1.11.5 o posterior.

Workarounds

Si no es posible actualizar de inmediato, se recomienda realizar las siguientes acciones:

  • Reforzar políticas de red estrictas para que solo el Kubernetes API Server pueda acceder al "admission controller".

  • Deshabilitar temporalmente el componente "admission controller" de Ingress-NGINX si no se puede actualizar de inmediato.

  • Si se ha instalado ingress-nginx usando Helm, se ha de reinstalar con controller.admissionWebhooks.enabled=false.

  • Si se ha instalado ingress-nginx manualmente, se ha de eliminar la ValidatingWebhookConfiguration llamada ingress-nginx-admission y elimina el argumento --validating-webhook del contenedor ingress-nginx-controller en su Deployment o DaemonSet.

  • Recuerdar volver a habilitar el Validating Admission Controller después de actualizar, ya que proporciona salvaguardas importantes para las configuraciones de Ingress.

Referencias

Artículos relacionados
Vulnerabilidad en VMware 2025
Leer más →
Vulnerabilidad en NetScaler
Leer más →
Vulnerabilidad en Palo Alto Networks
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día