Schwachstellen ermöglichen Cluster-Übernahme in Kubernetes

Insgesamt schloss das Entwickler-Team fünf Lücken, von denen vier einen RCE-Angriff (Remote Code Execution) ermöglichen. In einem Cybersicherheitshinweis wies das Bundesamt für Sicherheit in der Informationstechnik (BSI) insbesondere auf die kritische Schwachstelle CVE-2025-1974 mit einem CVSS-Base-Score von 9.8/10 hin.

Durch die Schwachstellen besteht ein großes Risiko für eine Cluster-Übernahme. Bislang ist keine Ausnutzung bekannt. Das BSI geht jedoch davon aus, dass zeitnah nach der Veröffentlichung der technischen Details und ggf. weiterer Proof-of-Concept-Exploits Cyberkriminelle Angriffe versuchen werden.

Betroffen sind folgende Versionen des Ingress NGINX Controllers:

• Vor 1.11.0
• 1.11.0 bis 1.11.4
• 1.12.0

Gepatchte Schwachstellen:

• CVE-2025-1974 (9.8/10)
• CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 (8.8/10)
• CVE-2025-24513 (4.8/10)

Kubernetes ist ein Open-Source-Orchestrierungssystem für Container-Anwendungen.

Beachten Sie folgende Empfehlungen des BSI:

• Aktualisieren Sie den Ingress NGINX Controller auf Version 1.11.5, 1.12.1 oder höher.
• Die Webhook-Komponente bzw. der Validating Admission Controller sollte nicht aus dem Internet erreichbar sein.