EN

Alvarlegir veikleikar hjá Next.js, Veeam, Ingress NGINX controller fyrir Kubernetes og Broadcom

Tilkynnt var um alvarlega veikleika í Next.js, Veeam, Ingress NGINX controller fyrir Kubernetes og Broadcom. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.

Alvarlegir veikleikar

Next.js
Veikleikinn CVE-2025-29927 með CVSSv3 veikleikastig upp á 9.1 gerir árásaraðilum kleift að komast framhjá millibúnaði (e. middleware) sem sér um auðkenningu [1].

Veeam
Veikleikinn CVE-2025-23120 með CVSSv3 veikleikastig upp á 9.9 gerir árásaraðilum kleift að fjarkeyra kóða (e. remote code execution) á afritunar þjóni [2].

ingress NGINX controller fyrir Kubernetes
Fjórir alvarlegir veikleikar hafa verið greindir í ingress-nginx:
CVE-2025-1974 með CVSSv3 veikleikastig upp á 9.8 gerir árásaraðilum kleift að fjarkeyra kóða (e. remote code execution) og stolið kubernetes leyndarmálum (e. kubernetes secrets) [3][4].
CVE-2025-1097 með CVSSv3 veikleikastig upp á 8.8 felst í misnotkun á áletrun (e. annotation) auth-tls-match-cn til að innspýta (e. inject) stillingum inn í nginx [5].
CVE-2025-1098 með CVSSv3 veikleikastig upp á 8.8 felst í misnotkun á áletrun mirror-target og mirror-host til að innspýta stillingum inn í nginx [6].
CVE-2025-24514 með CVSSv3 veikleikastig upp á 8.8 felst í misnotkun á áletrun auth-url til að innspýta stillingum í nginx og nálgast Kubernetes leyndarmál [7].

Broadcom (VMware Tools)
Veikleikinn CVE-2025-22230 með CVSSv3 veikleikastig upp á 7.8 gerir árásaraðilum kleift að komast framhjá auðkenningu (e. authentication bypass) og öðlast stjórnandaréttindi (e. administrative privileges) [9].

Tilvísanir

[1] https://nextjs.org/blog/cve-2025-29927
[2] https://www.veeam.com/kb4724
[3] https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.12.1
[4] https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.11.5
[5] https://github.com/kubernetes/kubernetes/issues/131007
[6] https://github.com/kubernetes/kubernetes/issues/131008
[7] https://github.com/kubernetes/kubernetes/issues/131006
[8] https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518

Tilkynnt var um alvarlega veikleika í Next.js, Veeam, Ingress NGINX controller fyrir Kubernetes og Broadcom. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.

Alvarlegir veikleikar

Next.js
Veikleikinn CVE-2025-29927 með CVSSv3 veikleikastig upp á 9.1 gerir árásaraðilum kleift að komast framhjá millibúnaði (e. middleware) sem sér um auðkenningu [1].

Veeam
Veikleikinn CVE-2025-23120 með CVSSv3 veikleikastig upp á 9.9 gerir árásaraðilum kleift að fjarkeyra kóða (e. remote code execution) á afritunar þjóni [2].

ingress NGINX controller fyrir Kubernetes
Fjórir alvarlegir veikleikar hafa verið greindir í ingress-nginx:
CVE-2025-1974 með CVSSv3 veikleikastig upp á 9.8 gerir árásaraðilum kleift að fjarkeyra kóða (e. remote code execution) og stolið kubernetes leyndarmálum (e. kubernetes secrets) [3][4].
CVE-2025-1097 með CVSSv3 veikleikastig upp á 8.8 felst í misnotkun á áletrun (e. annotation) auth-tls-match-cn til að innspýta (e. inject) stillingum inn í nginx [5].
CVE-2025-1098 með CVSSv3 veikleikastig upp á 8.8 felst í misnotkun á áletrun mirror-target og mirror-host til að innspýta stillingum inn í nginx [6].
CVE-2025-24514 með CVSSv3 veikleikastig upp á 8.8 felst í misnotkun á áletrun auth-url til að innspýta stillingum í nginx og nálgast Kubernetes leyndarmál [7].

Broadcom (VMware Tools)
Veikleikinn CVE-2025-22230 með CVSSv3 veikleikastig upp á 7.8 gerir árásaraðilum kleift að komast framhjá auðkenningu (e. authentication bypass) og öðlast stjórnandaréttindi (e. administrative privileges) [9].

Tilvísanir

[1] https://nextjs.org/blog/cve-2025-29927
[2] https://www.veeam.com/kb4724
[3] https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.12.1
[4] https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1.11.5
[5] https://github.com/kubernetes/kubernetes/issues/131007
[6] https://github.com/kubernetes/kubernetes/issues/131008
[7] https://github.com/kubernetes/kubernetes/issues/131006
[8] https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518

Scroll to Top