Am 24. März 2025 veröffentlichte Kubernetes Advisories zu mehreren Schwachstellen im weit verbreiteten Ingress NGINX Controller für Kubernetes. Dieser wird häufig als Reverse Proxy und Load Balancer eingesetzt, um externen HTTP(s) Traffic auf interne Kubernetes-Services weiterzuleiten. Insgesamt wurden fünf Schwachstellen geschlossen, wovon vier die unautorisierte Ausführung von Code aus der Ferne (RCE) ermöglichen. Hervorzuheben ist dabei insbesondere die nach CVSS:3.1 mit 9.8 als "kritisch" bewertete Sicherheitslücke CVE-2025-1974. Den drei weiteren RCE-Verwundbarkeiten wird mit jeweils 8.8 eine "hohe" Kritikalität attestiert (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514).

Das IT-Sicherheitsunternehmen Wiz veröffentlichte weitere Details zu den schwerwiegendsten Schwachstellen, die demnach einen Angreifer dazu in die Lage versetzen können, aus der Ferne unautorisierten Zugriff auf sensible Daten zu erlangen und somit letztendlich das gesamte Cluster zu übernehmen. Aufgrund des großen Gefährdungspotentials bezeichnet das IT-Sicherheitsunternehmen den Sachverhalt auch als "IngressNightmare". 

Betroffen von der Schwachstelle sind die Versionen:

• < v1.11.0
• v1.11.0 - 1.11.4
• v1.12.0

Eine Ausnutzung der genannten Schwachstellen ist bislang nicht bekannt.