ingress-nginx - CVE-2025-15566
Date de publication :
Une vulnérabilité permet l’injection de configuration NGINX via l’annotation nginx.ingress.kubernetes.io/auth-proxy-set-headers. Cette injection peut conduire à une exécution de code arbitraire dans le contexte du contrôleur ingress-nginx et à la divulgation des Secrets accessibles au contrôleur (par défaut, l’ensemble des Secrets du cluster).
Informations
La faille est activement exploitée : Non
Un correctif existe : Non
Une mesure de contournement existe : Non
Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type
CWE-20: Improper Input Validation
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• ingress-nginx version antérieures à v1.12.5,
• ingress-nginx version antérieures à v1.13.1
Solutions ou recommandations
• ingress-nginx versions 1.12.5 et supérieures,
• ingress-nginx versions 1.13.1 et supérieures.