Alerte sur la sécurité de l’outil open source Ingress Nginx - géré par la CNCF et à ne pas confondre avec le logiciel de serveur web éponyme - avec la découverte de quatre failles. Deux d’entre elles présentent un score CVSS de 8,8. La CVE-2026-1580 est un problème de validation des entrées. Si le contrôleur Ingress Ngnix est paramétré avec une configuration d'erreurs personnalisées par défaut incluant les erreurs HTTP 401 ou 403, et si le backend d'erreurs personnalisées par défaut configuré est défectueux et ne respecte pas l'en-tête HTTP Xcode, alors un Ingress avec l'annotation auth-url peut être accédé même en cas d'échec d'authentification.
De son côté, la vulnérabilité CVE-2026-24512 est une de type injection de configuration. Le champ "rules.http.paths.path" de l'objet "Ingres" peut être utilisé pour injecter de la configuration dans Nginx. Ceci peut permettre l'exécution de code arbitraire dans le contexte du contrôleur "ingress-nginx" et la divulgation de secrets accessibles à ce contrôleur. Ce n’est pas la première fois que des failles critiques sont trouvées. En mars dernier, les chercheurs de Wiz ont découvert plusieurs vulnérabilités regroupées sous l’appellation « Ingress Nightmare ».
Des fuites de données à l’interruption de services
« Il s'agit d'une vulnérabilité grave », a commenté Kellman Meghu, directeur technique de la société canadienne DeepCove Cybersecurity, en parlant de la CVE-2026-24512 . « Si je parvenais à l'exploiter, je pourrais amener la passerelle Ingress à créer un chemin direct vers des ressources internes. C'est comme ouvrir des portes secrètes qui ne devraient jamais être exposées. Cela entraînera-t-il d'autres fuites ou des piratages ? Probablement, mais en termes d'impact, il s'agit d'une première étape pour accéder à l'environnement, et les conséquences pourraient être bien plus graves, allant jusqu'à l'interruption des services.»
Deux autres vulnérabilités ont été découvertes : la CVE-2026-24513, considérée comme présentant un faible risque par Kellman Meghu car un attaquant doit disposer d'une configuration contenant des erreurs spécifiques pour l'exploiter. Et la CVE-2026-24514, qu'il juge comme un risque moyen. Le contrôleur pourrait être victime d'un déni de service si un attaquant le surcharge de requêtes. Ces failles affectent uniquement les versions d'Ingress Nginx 1.13.7 et antérieures, ainsi que 1.14.3 et antérieures, si elles sont installées sur un cluster Kubernetes. Car une majorité des déploiements sur cet environnement en entreprise se sert de l’outil open source pour contrôler le trafic entrant. Il gère la cartographie du trafic vers les pods exécutant des tâches. Selon Kellman Meghu, Ingress Nginx est le principal d’entrée du trafic et son efficacité repose sur sa capacité à changer sa configuration à la volée, lui permettant ainsi de s’adapter aux modifications au sein d’un cluster Kubernetes.
Un rappel de la fin de support d’Ingress Nginx
Cette alerte de sécurité intervient quelques semaines avant la fin du support du contrôleur réseau annoncée lors de la KubeCon en novembre dernier. À partir de mars, le projet ne bénéficiera plus de maintenance active, de correctifs de sécurité ni de corrections de bogues. Depuis, les experts incitent les administrateurs Kubernetes à migrer vers un nouveau contrôleur. Ils recommandent l'API Kubernetes Gateway comme standard pour la gestion du trafic. D'autres options incluent des contrôleurs tels que Cilium Ingress, Traefik ou HAProxy Ingress. « Bien que ces nouvelles vulnérabilités ne soient pas inédites, elles rappellent brutalement à tous les administrateurs que s'ils n'ont pas encore entamé la migration, ils doivent le faire immédiatement, avant la mise hors service d'Ingres Nginx le mois prochain. Compte tenu de cette mise hors service imminente, la migration est la meilleure stratégie pour atténuer ces vulnérabilités », a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable, à CSO.