Platform
kubernetes
Component
nginx-ingress-controller
Opgelost in
5.3.1
5.2.1000
5.1.1000
5.0.1000
4.999.1000
3.999.1000
CVE-2025-14727 beschrijft een kwetsbaarheid in de nginx.org/rewrite-target annotatievalidatie binnen de NGINX Ingress Controller. Deze onjuiste validatie kan leiden tot ongeautoriseerde toegang tot de applicatie. De kwetsbaarheid treft versies van de NGINX Ingress Controller tussen 3.0.0 en 5.3.1 inclusief. Een fix is beschikbaar in versie 5.3.1.
Deze kwetsbaarheid stelt een aanvaller in staat om de rewrite-target annotatie te manipuleren, wat kan resulteren in ongeautoriseerde toegang tot interne resources of het uitvoeren van schadelijke code. Een succesvolle exploit kan leiden tot data-exfiltratie, verstoring van de dienst of zelfs volledige controle over de applicatie. De impact is verhoogd omdat NGINX Ingress Controllers vaak worden gebruikt als een centraal punt voor het routeren van verkeer naar verschillende microservices binnen een Kubernetes cluster, waardoor een compromis een breed scala aan diensten kan beïnvloeden. Dit soort manipulatie van rewrite regels is vergelijkbaar met eerdere kwetsbaarheden waarbij onvoldoende validatie van gebruikersinvoer leidde tot onbedoelde toegang tot gevoelige data.
Op dit moment is er geen publieke proof-of-concept (POC) beschikbaar voor CVE-2025-14727. De kwetsbaarheid is opgenomen in het CISA KEV catalogus met een medium waarschijnlijkheid van exploitatie. De publicatie van de kwetsbaarheid op 2025-12-17 geeft aan dat er mogelijk onderzoek gaande is naar de exploitatie ervan.
Organizations heavily reliant on NGINX Ingress Controller for managing external access to their Kubernetes clusters are at risk. This includes those deploying complex applications with multiple backend services and those who allow users to create or modify Ingress resources without proper validation.
• kubernetes / ingress:
kubectl get ingress --all-namespaces -o yaml | grep -i rewrite-target• kubernetes / audit: Review Kubernetes audit logs for suspicious modifications to Ingress resources, particularly those involving the nginx.org/rewrite-target annotation.
• generic web: Inspect NGINX access logs for unusual request patterns or redirects that might indicate exploitation.
disclosure
Exploit Status
EPSS
0.19% (41% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de NGINX Ingress Controller naar versie 5.3.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om de rewrite-target annotatie te filteren en te valideren. Configureer de WAF om onverwachte of kwaadaardige patronen in de annotatie te blokkeren. Het is ook aan te raden om de configuratie van de NGINX Ingress Controller te controleren op ongebruikelijke of verdachte rewrite regels. Na de upgrade, verifieer de correcte werking van de applicatie door het testen van de rewrite regels en het controleren van de toegangscontrole.
Actualice NGINX Ingress Controller a la versión 5.3.1 o superior. Esto corrige la vulnerabilidad de validación en la anotación nginx.org/rewrite-target.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14727 is a HIGH severity vulnerability affecting NGINX Ingress Controller versions 3.0.0–5.3.1. It allows attackers to manipulate request routing via malicious rewrite-target annotations.
If you are running NGINX Ingress Controller versions 3.0.0 through 5.3.1, you are potentially affected by this vulnerability. Check your version and upgrade accordingly.
Upgrade to version 5.3.1 or later to remediate the vulnerability. Implement stricter validation of Ingress resource manifests as an interim measure.
As of December 17, 2025, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the official NGINX Ingress Controller documentation and security advisories for the latest information and updates regarding CVE-2025-14727.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.