مجموعهای از پنج نقص امنیتی حیاتی در Ingress NGINX Controller برای Kubernetes فاش شده است که میتواند منجر به اجرای کد از راه دور (RCE) احراز هویت نشده شود و با قرارگیری مؤلفه در معرض اینترنت عمومی بیش از 6.500 کلاستر را به مخاطره بیندازد.
آسیبپذیریهای حیاتی با شناسههای CVE-2025-24513، CVE-2025-24514، CVE-2025-1097، CVE-2025-1098 و CVE-2025-1974 (امتیاز CVSS 9.8)، تحت عنوان CloudNight نامگذاری شده است. نقصهای امنیتی مذکور بر روی NGINX Ingress Controller که یکی دیگر از اجرای کنترلر ورودی برای NGINX و NGINX Plus است، تأثیر نمیگذارد. سواستفاده از این آسیبپذیریها منجر به دسترسی غیرمجاز نفوذگران به تمامی سکرتهای ذخیرهشده namespaces در کلاستر Kubernetes و سبب تصاحب کلاسترها میشود. IngressNightmare در واقع، مؤلفه admission controller یا کنترلر پذیرش Ingress NGINX Controller برای Kubernetes را تحت تأثیر قرار میدهد. حدود 43 درصد از محیطهای ابری در برابر این نقصها آسیبپذیر هستند. آسیبپذیریها در Ingress NGINX Controller نسخههای 1.12.1، 1.11.5 و 1.10.7 برطرف شدهاند.
https://thehackernews.com/2025/03/critical-ingress-nginx-controller.html
