O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) advertiu às instituições aderentes à Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC) e demais entidades/instituições da administração pública que foi detectada uma vulnerabilidade crítica de segurança no Kubernetes.
De acordo com o CTIR Gov, sob certas condições, ela possibilita que um atacante não autenticado com acesso à rede do “pod” consiga executar código arbitrário no contexto do controlador ingress-nginx. Essa vulnerabilidade é descrita na Common Vulnerabilities and Exposures (CVE), nos endereços abaixo relacionados:
https://nvd.nist.gov/vuln/detail/CVE-2025-1974
https://www.cve.org/CVERecord?id=CVE-2025-1974
A vulnerabilidade afeta as seguintes versões do ingress-nginx: As versões de 10 até 1.11.4; e a versão 1.12.0.
O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) pediu que os gestores identifiquem em seus inventários de ativos a utilização do software vulnerável e apliquem, no mais curto prazo, as atualizações disponibilizadas pelo desenvolvedor, conforme link abaixo:
https://https//github.com/kubernetes/kubernetes/issues/131009
