Plateforme
kubernetes
Composant
nginx-ingress-controller
Corrigé dans
5.3.1
5.2.1000
5.1.1000
5.0.1000
4.999.1000
3.999.1000
Une vulnérabilité a été découverte dans la validation de l'annotation nginx.org/rewrite-target de NGINX Ingress Controller. Cette faille permet à un attaquant d'exploiter une mauvaise validation, potentiellement conduisant à l'exécution de code arbitraire. Les versions affectées sont comprises entre 3.0.0 et 5.3.1 incluses. Une correction est disponible dans la version 5.3.1.
L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant de compromettre le cluster Kubernetes hébergeant NGINX Ingress Controller. L'attaquant pourrait potentiellement injecter du code malveillant via l'annotation rewrite-target, qui serait ensuite exécuté par le contrôleur. Cela pourrait conduire à un contrôle total du cluster, à la vol de données sensibles, ou à l'interruption de service. Bien que des exemples d'exploitation directe ne soient pas encore largement documentés, la capacité d'exécuter du code arbitraire représente un risque significatif, similaire à d'autres vulnérabilités d'injection de code dans des contrôleurs d'entrée.
Cette vulnérabilité a été rendue publique le 2025-12-17. Son score CVSS de 8.3 (HAUTE) indique une probabilité d'exploitation élevée. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité (exécution de code arbitraire) la rend attrayante pour les attaquants. Il est conseillé de surveiller les sources d'informations sur les menaces et les forums de sécurité pour détecter d'éventuels PoCs (Proof of Concept) ou rapports d'exploitation.
Organizations heavily reliant on NGINX Ingress Controller for managing external access to their Kubernetes clusters are at risk. This includes those deploying complex applications with multiple backend services and those who allow users to create or modify Ingress resources without proper validation.
• kubernetes / ingress:
kubectl get ingress --all-namespaces -o yaml | grep -i rewrite-target• kubernetes / audit: Review Kubernetes audit logs for suspicious modifications to Ingress resources, particularly those involving the nginx.org/rewrite-target annotation.
• generic web: Inspect NGINX access logs for unusual request patterns or redirects that might indicate exploitation.
disclosure
Statut de l'Exploit
EPSS
0.19% (percentile 41%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à niveau NGINX Ingress Controller vers la version 5.3.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, envisagez de désactiver temporairement l'utilisation de l'annotation nginx.org/rewrite-target dans vos configurations d'Ingress. Une autre approche consiste à implémenter des règles de pare-feu ou de WAF (Web Application Firewall) pour bloquer les requêtes contenant des valeurs malveillantes dans l'annotation. Après la mise à niveau, vérifiez la configuration de l'Ingress Controller pour vous assurer que l'annotation rewrite-target est correctement validée et qu'aucune configuration non sécurisée n'est présente.
Actualice NGINX Ingress Controller a la versión 5.3.1 o superior. Esto corrige la vulnerabilidad de validación en la anotación nginx.org/rewrite-target.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14727 is a HIGH severity vulnerability affecting NGINX Ingress Controller versions 3.0.0–5.3.1. It allows attackers to manipulate request routing via malicious rewrite-target annotations.
If you are running NGINX Ingress Controller versions 3.0.0 through 5.3.1, you are potentially affected by this vulnerability. Check your version and upgrade accordingly.
Upgrade to version 5.3.1 or later to remediate the vulnerability. Implement stricter validation of Ingress resource manifests as an interim measure.
As of December 17, 2025, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the official NGINX Ingress Controller documentation and security advisories for the latest information and updates regarding CVE-2025-14727.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.