NGINX Ingress Controller भेद्यता

यह भेद्यता हमलावर को अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है, जिससे वे संवेदनशील डेटा तक पहुंच सकते हैं या सिस्टम को नियंत्रित कर सकते हैं। हमलावर रीराइट-टारगेट एनोटेशन का उपयोग करके मनमाना अनुरोधों को रूट कर सकता है, जिससे संभावित रूप से आंतरिक सेवाओं तक पहुंच प्राप्त हो सकती है या अन्य सुरक्षा उल्लंघनों का कारण बन सकता है। इस भेद्यता का प्रभाव उच्च है, क्योंकि यह हमलावर को सिस्टम पर महत्वपूर्ण नियंत्रण प्रदान कर सकता है।

Organizations heavily reliant on NGINX Ingress Controller for managing external access to their Kubernetes clusters are at risk. This includes those deploying complex applications with multiple backend services and those who allow users to create or modify Ingress resources without proper validation.

• kubernetes / ingress:

kubectl get ingress --all-namespaces -o yaml | grep -i rewrite-target

• kubernetes / audit: Review Kubernetes audit logs for suspicious modifications to Ingress resources, particularly those involving the nginx.org/rewrite-target annotation. • generic web: Inspect NGINX access logs for unusual request patterns or redirects that might indicate exploitation.

1. 2025-12-17Disclosure

   disclosure

1. आरक्षित2025-12-15
2. प्रकाशित2025-12-17
3. संशोधित2026-02-26
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, NGINX Ingress Controller को संस्करण 5.3.1 या उच्चतर में अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके रीराइट-टारगेट एनोटेशन के लिए इनपुट को मान्य कर सकते हैं। इसके अतिरिक्त, आप अपने NGINX कॉन्फ़िगरेशन को सख्त करके और अनावश्यक सेवाओं को अक्षम करके हमले की सतह को कम कर सकते हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, NGINX Ingress Controller को पुनः कॉन्फ़िगर करें और परीक्षण करें।