Vulnerabilidades ‘IngressNightmare’ no controlador NGINX Ingress do Kubernetes: visão geral, detecção e correção

No dia 24 de março, pesquisadores divulgaram um conjunto de cinco vulnerabilidades no ingress-nginx, conhecidas como “IngressNightmare”. Entre elas, o CVE-2025-1974 se destaca como a mais crítica, com uma pontuação CVSS de 9,8. Quando combinado com outra vulnerabilidade de menor gravidade, ele possibilita a execução remota de código sem necessidade de autenticação.

A exploração depende do acesso ao webhook de admissão do controlador de ingresso. Se esse webhook estiver exposto à Internet, qualquer invasor remoto pode comprometê-lo. Mesmo quando exposto apenas internamente, ele ainda representa um risco significativo, pois permite a escalada de privilégios entre pods, já que, por padrão, eles podem se comunicar entre si.

Diante da divulgação do CVE-2025-1974, o Kubernetes já se manifestou publicamente, recomendando que os usuários apliquem os patches disponibilizados pela equipe do ingress-nginx para mitigar essa vulnerabilidade.

Como verificar se seu cluster está vulnerável

Seu cluster está vulnerável se estiver utilizando o ingress-nginx em uma das seguintes versões:

Inferior à v1.11.0
Entre v1.11.0 e v1.11.4
v1.12.0

Para facilitar a verificação, desenvolvemos um script em Python que automatiza esse processo.

Veja mais em DataDog

D	S	T	Q	Q	S	S
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31

Vulnerabilidades ‘IngressNightmare’ no controlador NGINX Ingress do Kubernetes: visão geral, detecção e correção

Como verificar se seu cluster está vulnerável

Lazaro Souza