개요
Kubernetes 제품에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
CVE-2025-1097, CVE-2025-1098, CVE-2025-1974, CVE-2025-24513, CVE-2025-24514
Ingress NGINX Controller 1.11.0 미만 버전
Ingress NGINX Controller 1.11.0 이상 1.11.4 이하 버전
Ingress NGINX Controller 1.12.0 이하 버전
해결된 취약점
원격 코드 실행 취약점(CVE-2025-1097, CVE-2025-1098, CVE-2025-1974, CVE-2025-24513, CVE-2025-24514)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2025-1097, CVE-2025-1098, CVE-2025-1974, CVE-2025-24513, CVE-2025-24514
Ingress NGINX Controller 1.11.5 버전
Ingress NGINX Controller 1.12.1 버전
참고사이트
[1] IngressNightmare: 9.8 Critical Unauthenticated Remote Code Execution Vulnerabilities in Ingress NGINX
https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities
[2] CVE-2025-24513: ingress-nginx controller – auth secret file path traversal vulnerability #131005
https://github.com/kubernetes/kubernetes/issues/131005
[3] CVE-2025-24514: ingress-nginx controller – configuration injection via unsanitized auth-url annotation #131006
https://github.com/kubernetes/kubernetes/issues/131006
[4] CVE-2025-1097: ingress-nginx controller – configuration injection via unsanitized auth-tls-match-cn annotation #131007
https://github.com/kubernetes/kubernetes/issues/131007
[5] CVE-2025-1098: ingress-nginx controller – configuration injection via unsanitized mirror annotations #131008
https://github.com/kubernetes/kubernetes/issues/131008
[6] CVE-2025-1974: ingress-nginx admission controller RCE escalation #131009