CVE-2025-15566
Mis à jour :
Contrôle d’accès compromis dans ingress-nginx via une injection de configuration
Une faille de sécurité, identifiée sous la référence CVE-2025-15566, a été découverte dans le contrôleur ingress-nginx de Kubernetes. Cette vulnérabilité est due à une validation insuffisante des entrées concernant l’annotation nginx.ingress.kubernetes.io/auth-proxy-set-headers.
Points Clés :
- Nature de la vulnérabilité : Mauvaise validation des entrées (CWE-20).
- Cause : L’annotation
auth-proxy-set-headerspeut être exploitée. - Conséquence : Permet l’injection de directives de configuration arbitraires dans la configuration Nginx du contrôleur.
Vulnérabilités :
- CVE : CVE-2025-15566
- Type : Injection de configuration, élévation de privilèges, divulgation d’informations sensibles.
Impact Potentiel :
- Exécution de code arbitraire au sein du contexte du contrôleur.
- Divulgation non autorisée de secrets Kubernetes sensibles, étant donné que le contrôleur opère souvent avec des privilèges élevés et un accès au niveau du cluster.
Recommandations :
Bien que l’article ne détaille pas explicitement les recommandations, une exploitation réussie suggère la nécessité :
- De mettre à jour le contrôleur ingress-nginx vers une version corrigée.
- De revoir et restreindre les permissions du contrôleur ingress-nginx.
- De surveiller activement les tentatives d’exploitation de cette annotation.