Kubernetes Ingress NGINX コントローラーの任意のコード実行 (CVE-2025-1974)

critical Nessus プラグイン ID 233656

概要

リモート Kubernetes Ingress NGINX コントローラーは、任意のコードの実行の脆弱性の影響を受けます。

説明

Kubernetes にセキュリティ上の問題が見つかり、特定の条件下で、ポッドネットワークにアクセスできる認証されていない攻撃者が、ingress-nginx コントローラーのコンテキストで任意のコードを実行できる可能性があります。これにより、コントローラーがアクセス可能な Secrets が漏洩する可能性があります。(注意: デフォルトのインストールでは、コントローラーはクラスター全体のすべての Secrets にアクセスできます。)

ソリューション

ベンダーのアドバイザリに従って更新を適用してください。

参考資料

http://www.nessus.org/u?d57d9736

プラグインの詳細

深刻度: Critical

ID: 233656

ファイル名: kubernetes_cve-2025-1974.nbin

バージョン: 1.3

タイプ: remote

ファミリー: CGI abuses

公開日: 2025/4/1

更新日: 2025/7/14

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.2

CVSS v2

リスクファクター: Critical

基本値: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-1974

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: cpe:/a:kubernetes:nginx_ingress_controller

必要な KB アイテム: installed_sw/Ingress NGINX Admission Controller

Nessus によりエクスプロイト済み: true

パッチ公開日: 2025/3/25

脆弱性公開日: 2025/3/24

参照情報

CVE: CVE-2025-1974