Tilkynnt var um alvarlega veikleika í Next.js, Veeam, Ingress NGINX controller fyrir Kubernetes og Broadcom. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.
Alvarlegir veikleikar
Next.js
Veikleikinn CVE-2025-29927
með CVSSv3 veikleikastig upp á 9.1 gerir árásaraðilum kleift að komast framhjá millibúnaði (e. middleware) sem sér um auðkenningu [1].
Veeam
Veikleikinn CVE-2025-23120
með CVSSv3 veikleikastig upp á 9.9 gerir árásaraðilum kleift að fjarkeyra kóða (e. remote code execution) á afritunar þjóni [2].
ingress NGINX controller fyrir Kubernetes
Fjórir alvarlegir veikleikar hafa verið greindir í ingress-nginx:
– CVE-2025-1974
með CVSSv3 veikleikastig upp á 9.8 gerir árásaraðilum kleift að fjarkeyra kóða (e. remote code execution) og stolið kubernetes leyndarmálum (e. kubernetes secrets) [3][4].
– CVE-2025-1097
með CVSSv3 veikleikastig upp á 8.8 felst í misnotkun á áletrun (e. annotation) auth-tls-match-cn
til að innspýta (e. inject) stillingum inn í nginx [5].
– CVE-2025-1098
með CVSSv3 veikleikastig upp á 8.8 felst í misnotkun á áletrun mirror-target
og mirror-host
til að innspýta stillingum inn í nginx [6].
– CVE-2025-24514
með CVSSv3 veikleikastig upp á 8.8 felst í misnotkun á áletrun auth-url
til að innspýta stillingum í nginx og nálgast Kubernetes leyndarmál [7].
Broadcom (VMware Tools)
Veikleikinn CVE-2025-22230
með CVSSv3 veikleikastig upp á 7.8 gerir árásaraðilum kleift að komast framhjá auðkenningu (e. authentication bypass) og öðlast stjórnandaréttindi (e. administrative privileges) [9].
Tilvísanir
[1] https://nextjs.org/blog/cve-2025-29927
[2] https://www.veeam.com/kb4724
[3] https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.12.1
[4] https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.11.5
[5] https://github.com/kubernetes/kubernetes/issues/131007
[6] https://github.com/kubernetes/kubernetes/issues/131008
[7] https://github.com/kubernetes/kubernetes/issues/131006
[8] https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518