Der Kubernetes Ingress NGINX Controller weist mehrere Schwachstellen auf, die mit einem CVSS-Score von 8.8 als hochkritisch eingestuft werden. Betroffen sind alle Versionen vor 1.13.7 und 1.14.3. Die Lücken ermöglichen authentisierten Angreifern Remote-Code-Execution, das Umgehen von Sicherheitsmaßnahmen, Informationsoffenlegung und Denial-of-Service-Angriffe.
Die vier identifizierten CVEs (CVE-2026-24513, CVE-2026-24514, CVE-2026-1580 und CVE-2026-24512) betreffen den weit verbreiteten Ingress Controller, der in vielen Kubernetes-Clustern als zentrale Komponente für eingehenden Traffic fungiert. Die Schwachstellen setzen zwar eine Authentifizierung voraus, können jedoch von Angreifern mit eingeschränkten Berechtigungen ausgenutzt werden, um ihre Privilegien zu erweitern oder kritische Cluster-Komponenten zu kompromittieren.
Betroffenheit prüfen: Führen Sie kubectl get deployment -n ingress-nginx ingress-nginx-controller -o jsonpath='{.spec.template.spec.containers[0].image}' aus, um Ihre installierte Version zu ermitteln. Alternativ prüfen Sie die Versionsnummer in Ihren Helm-Charts oder Deployment-Manifesten. Alle Versionen unterhalb von 1.13.7 bzw. 1.14.3 sind verwundbar.
Empfehlung: Aktualisieren Sie umgehend auf Version 1.13.7 oder höher (für die 1.13.x-Reihe) bzw. auf Version 1.14.3 oder höher (für die 1.14.x-Reihe). Bis zum Update können Sie als Mitigation die RBAC-Berechtigungen für Ingress-Ressourcen restriktiver gestalten und nur vertrauenswürdigen Nutzern Zugriff gewähren. Überprüfen Sie zudem Ihre Ingress-Konfigurationen auf ungewöhnliche Änderungen.
Details: https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2026-0289
