Plataforma
kubernetes
Componente
nginx-ingress-controller
Corrigido em
5.3.1
5.2.1000
5.1.1000
5.0.1000
4.999.1000
3.999.1000
Uma vulnerabilidade foi descoberta no NGINX Ingress Controller, especificamente na validação da anotação nginx.org/rewrite-target. Essa falha permite a manipulação da forma como o NGINX Ingress Controller processa as regras de reescrita, potencialmente levando à execução remota de código. As versões afetadas incluem 3.0.0 até 5.3.1. A correção está disponível na versão 5.3.1.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante manipule as regras de reescrita do NGINX Ingress Controller. Isso pode resultar na execução de código arbitrário no nó Kubernetes onde o Ingress Controller está em execução. O impacto potencial é significativo, incluindo a capacidade de roubar dados confidenciais, comprometer a infraestrutura subjacente e realizar ataques de negação de serviço (DoS). A anotação rewrite-target é usada para definir o destino das requisições reescritas, e a falta de validação adequada permite que um atacante injete comandos maliciosos que serão executados pelo NGINX.
A vulnerabilidade foi divulgada em 2025-12-17. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) publicamente disponível sugere que a exploração pode ser complexa ou exigir conhecimento especializado do NGINX Ingress Controller.
Organizations heavily reliant on NGINX Ingress Controller for managing external access to their Kubernetes clusters are at risk. This includes those deploying complex applications with multiple backend services and those who allow users to create or modify Ingress resources without proper validation.
• kubernetes / ingress:
kubectl get ingress --all-namespaces -o yaml | grep -i rewrite-target• kubernetes / audit: Review Kubernetes audit logs for suspicious modifications to Ingress resources, particularly those involving the nginx.org/rewrite-target annotation.
• generic web: Inspect NGINX access logs for unusual request patterns or redirects that might indicate exploitation.
disclosure
Status do Exploit
EPSS
0.19% (percentil 41%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o NGINX Ingress Controller para a versão 5.3.1 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere implementar regras de firewall para restringir o acesso ao NGINX Ingress Controller apenas a fontes confiáveis. Além disso, revise e valide cuidadosamente todas as anotações rewrite-target para garantir que não contenham comandos maliciosos. Monitore os logs do NGINX Ingress Controller em busca de atividades suspeitas, como requisições com anotações rewrite-target inesperadas. Após a atualização, confirme a correção verificando a versão do NGINX Ingress Controller e testando as regras de reescrita.
Actualice NGINX Ingress Controller a la versión 5.3.1 o superior. Esto corrige la vulnerabilidad de validación en la anotación nginx.org/rewrite-target.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14727 is a HIGH severity vulnerability affecting NGINX Ingress Controller versions 3.0.0–5.3.1. It allows attackers to manipulate request routing via malicious rewrite-target annotations.
If you are running NGINX Ingress Controller versions 3.0.0 through 5.3.1, you are potentially affected by this vulnerability. Check your version and upgrade accordingly.
Upgrade to version 5.3.1 or later to remediate the vulnerability. Implement stricter validation of Ingress resource manifests as an interim measure.
As of December 17, 2025, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the official NGINX Ingress Controller documentation and security advisories for the latest information and updates regarding CVE-2025-14727.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.