Cinco vulnerabilidades críticas foram identificadas no Ingress NGINX Controller para Kubernetes, permitindo execução remota de código (RCE) sem autenticação. A falha, apelidada de IngressNightmare pela empresa de segurança Wiz, coloca em risco imediato mais de 6.500 clusters que expõem esse componente à internet pública. As falhas afetam o controlador de admissão e foram catalogadas sob os códigos CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 e CVE-2025-1974, com pontuação CVSS chegando a 9.8.

É importante destacar que essas vulnerabilidades não afetam o NGINX Ingress Controller, que é uma implementação distinta baseada no NGINX e NGINX Plus. O Ingress NGINX Controller utiliza o NGINX como proxy reverso e balanceador de carga, permitindo a exposição de rotas HTTP e HTTPS externas para serviços internos no cluster. O problema decorre do fato de que o controlador de admissão, que roda dentro de um pod Kubernetes, está acessível via rede sem autenticação. Um invasor pode enviar objetos maliciosos do tipo AdmissionReview para injetar configurações arbitrárias no NGINX, resultando em execução remota de código.

Com privilégios elevados e amplo acesso à rede, o controlador se torna um vetor de escalada crítica, permitindo o acesso a todos os segredos do cluster e potencialmente levando à sua tomada completa. Entre as falhas, destaca-se a CVE-2025-1974, que permite execução remota de código mesmo sem credenciais, ao ser combinada com outras falhas. Um cenário de ataque demonstrado inclui o upload de uma biblioteca maliciosa para o pod, que é carregada via requisição manipulada ao controlador, permitindo leitura de arquivos sensíveis e execução de código. As vulnerabilidades já foram corrigidas nas versões 1.12.1, 1.11.5 e 1.10.7 do Ingress NGINX Controller.