Plataforma
kubernetes
Componente
nginx-ingress-controller
Corregido en
5.3.1
5.2.1000
5.1.1000
5.0.1000
4.999.1000
3.999.1000
Se ha identificado una vulnerabilidad en el NGINX Ingress Controller, específicamente en la validación de la anotación nginx.org/rewrite-target. Esta falla permite a un atacante inyectar código malicioso, potencialmente llevando a la ejecución remota de código. La vulnerabilidad afecta a las versiones desde 3.0.0 hasta 5.3.1, y se recomienda actualizar a la versión 5.3.1 para mitigar el riesgo.
La vulnerabilidad en la validación de la anotación nginx.org/rewrite-target permite a un atacante controlar el flujo de la aplicación y ejecutar código arbitrario en el clúster de Kubernetes. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a datos sensibles, modificar la configuración del clúster o incluso tomar el control completo del entorno. El impacto potencial es significativo, especialmente en entornos de producción donde el NGINX Ingress Controller gestiona el tráfico de aplicaciones críticas. La capacidad de ejecutar código arbitrario abre la puerta a una amplia gama de ataques, incluyendo la exfiltración de datos, la denegación de servicio y la instalación de malware.
La vulnerabilidad CVE-2025-14727 se publicó el 17 de diciembre de 2025. No se ha reportado su inclusión en el KEV de CISA al momento de la publicación. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (ejecución remota de código) la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente los sistemas afectados.
Organizations heavily reliant on NGINX Ingress Controller for managing external access to their Kubernetes clusters are at risk. This includes those deploying complex applications with multiple backend services and those who allow users to create or modify Ingress resources without proper validation.
• kubernetes / ingress:
kubectl get ingress --all-namespaces -o yaml | grep -i rewrite-target• kubernetes / audit: Review Kubernetes audit logs for suspicious modifications to Ingress resources, particularly those involving the nginx.org/rewrite-target annotation.
• generic web: Inspect NGINX access logs for unusual request patterns or redirects that might indicate exploitation.
disclosure
Estado del Exploit
EPSS
0.19% (41% percentil)
CISA SSVC
Vector CVSS
La solución principal para mitigar esta vulnerabilidad es actualizar el NGINX Ingress Controller a la versión 5.3.1 o superior, donde se ha corregido el problema. Si la actualización inmediata no es posible, se recomienda implementar medidas de mitigación temporales, como restringir el acceso a la anotación nginx.org/rewrite-target solo a usuarios autorizados y validar rigurosamente la entrada del usuario antes de utilizarla en la configuración del Ingress Controller. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten explotar esta vulnerabilidad. Verifique la configuración de la anotación nginx.org/rewrite-target para asegurar que no contenga caracteres inesperados o código malicioso.
Actualice NGINX Ingress Controller a la versión 5.3.1 o superior. Esto corrige la vulnerabilidad de validación en la anotación nginx.org/rewrite-target.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14727 is a HIGH severity vulnerability affecting NGINX Ingress Controller versions 3.0.0–5.3.1. It allows attackers to manipulate request routing via malicious rewrite-target annotations.
If you are running NGINX Ingress Controller versions 3.0.0 through 5.3.1, you are potentially affected by this vulnerability. Check your version and upgrade accordingly.
Upgrade to version 5.3.1 or later to remediate the vulnerability. Implement stricter validation of Ingress resource manifests as an interim measure.
As of December 17, 2025, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the official NGINX Ingress Controller documentation and security advisories for the latest information and updates regarding CVE-2025-14727.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.