EN

Tilkynna atvik

EN

Tilkynna atvik
  • Frettasafn
  • /
  • frett
  • /
  • Fréttir
  • Alvarlegir veikleikar hjá Next.js, Veeam, Ingress NGINX controller fyrir Kubernetes og Broadcom

Alvarlegir veikleikar hjá Next.js, Veeam, Ingress NGINX controller fyrir Kubernetes og Broadcom

Tilkynnt var um alvarlega veikleika í Next.js, Veeam, Ingress NGINX controller fyrir Kubernetes og Broadcom. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.

Alvarlegir veikleikar

Next.js
Veikleikinn CVE-2025-29927 með CVSSv3 veikleikastig upp á 9.1 gerir árásaraðilum kleift að komast framhjá millibúnaði (e. middleware) sem sér um auðkenningu [1].

Veeam
Veikleikinn CVE-2025-23120 með CVSSv3 veikleikastig upp á 9.9 gerir árásaraðilum kleift að fjarkeyra kóða (e. remote code execution) á afritunar þjóni [2].

ingress NGINX controller fyrir Kubernetes
Fjórir alvarlegir veikleikar hafa verið greindir í ingress-nginx:
CVE-2025-1974 með CVSSv3 veikleikastig upp á 9.8 gerir árásaraðilum kleift að fjarkeyra kóða (e. remote code execution) og stolið kubernetes leyndarmálum (e. kubernetes secrets) [3][4].
CVE-2025-1097 með CVSSv3 veikleikastig upp á 8.8 felst í misnotkun á áletrun (e. annotation) auth-tls-match-cn til að innspýta (e. inject) stillingum inn í nginx [5].
CVE-2025-1098 með CVSSv3 veikleikastig upp á 8.8 felst í misnotkun á áletrun mirror-target og mirror-host til að innspýta stillingum inn í nginx [6].
CVE-2025-24514 með CVSSv3 veikleikastig upp á 8.8 felst í misnotkun á áletrun auth-url til að innspýta stillingum í nginx og nálgast Kubernetes leyndarmál [7].

Broadcom (VMware Tools)
Veikleikinn CVE-2025-22230 með CVSSv3 veikleikastig upp á 7.8 gerir árásaraðilum kleift að komast framhjá auðkenningu (e. authentication bypass) og öðlast stjórnandaréttindi (e. administrative privileges) [9].

Tilvísanir

[1] https://nextjs.org/blog/cve-2025-29927
[2] https://www.veeam.com/kb4724
[3] https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.12.1
[4] https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.11.5
[5] https://github.com/kubernetes/kubernetes/issues/131007
[6] https://github.com/kubernetes/kubernetes/issues/131008
[7] https://github.com/kubernetes/kubernetes/issues/131006
[8] https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518

Facebook Twitter Linkedin Google-plus-g Pinterest Envelope

Tilkynnt var um alvarlega veikleika í Next.js, Veeam, Ingress NGINX controller fyrir Kubernetes og Broadcom. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.

Alvarlegir veikleikar

Next.js
Veikleikinn CVE-2025-29927 með CVSSv3 veikleikastig upp á 9.1 gerir árásaraðilum kleift að komast framhjá millibúnaði (e. middleware) sem sér um auðkenningu [1].

Veeam
Veikleikinn CVE-2025-23120 með CVSSv3 veikleikastig upp á 9.9 gerir árásaraðilum kleift að fjarkeyra kóða (e. remote code execution) á afritunar þjóni [2].

ingress NGINX controller fyrir Kubernetes
Fjórir alvarlegir veikleikar hafa verið greindir í ingress-nginx:
CVE-2025-1974 með CVSSv3 veikleikastig upp á 9.8 gerir árásaraðilum kleift að fjarkeyra kóða (e. remote code execution) og stolið kubernetes leyndarmálum (e. kubernetes secrets) [3][4].
CVE-2025-1097 með CVSSv3 veikleikastig upp á 8.8 felst í misnotkun á áletrun (e. annotation) auth-tls-match-cn til að innspýta (e. inject) stillingum inn í nginx [5].
CVE-2025-1098 með CVSSv3 veikleikastig upp á 8.8 felst í misnotkun á áletrun mirror-target og mirror-host til að innspýta stillingum inn í nginx [6].
CVE-2025-24514 með CVSSv3 veikleikastig upp á 8.8 felst í misnotkun á áletrun auth-url til að innspýta stillingum í nginx og nálgast Kubernetes leyndarmál [7].

Broadcom (VMware Tools)
Veikleikinn CVE-2025-22230 með CVSSv3 veikleikastig upp á 7.8 gerir árásaraðilum kleift að komast framhjá auðkenningu (e. authentication bypass) og öðlast stjórnandaréttindi (e. administrative privileges) [9].

Tilvísanir

[1] https://nextjs.org/blog/cve-2025-29927
[2] https://www.veeam.com/kb4724
[3] https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.12.1
[4] https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.11.5
[5] https://github.com/kubernetes/kubernetes/issues/131007
[6] https://github.com/kubernetes/kubernetes/issues/131008
[7] https://github.com/kubernetes/kubernetes/issues/131006
[8] https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518

  • Sími:
  • Netfang:
  • Heimilisfang:
  • PGP:
  • PGP fingrafar
  • BF14 84D3 1D39 9C9F 2C70 9054 3938 E161 13E9 308B
  • © Netöryggissveitin
  • Kt.: 570397-2499 (Fjarskiptastofa)

Persónuverndarstefna

Scroll to Top

Um okkur

Fréttir og útgefið efni

Leiðbeiningar í atvikum