Kubernetes powers over 5.6 million developers worldwide and underpins the majority of cloud-native production infrastructure. In 2026, it remains as powerful as ever — and as dangerous to misconfigure. Eight CVEs have already been published against Kubernetes this year, with an average CVSS score of 7.5. More critically, 89% of organizations reported a Kubernetes-related security incident in the past year, and a class of container escape vulnerabilities in runc — the runtime that underpins Docker, containerd, and Kubernetes nodes — rewrote the industry's assumptions about container isolation.

Kubernetes alimente plus de 5,6 millions de développeurs dans le monde et constitue l'épine dorsale de la majorité de l'infrastructure cloud-native en production. En 2026, il reste aussi puissant que jamais — et aussi dangereux en cas de mauvaise configuration. Huit CVE ont déjà été publiées contre Kubernetes cette année, avec un score CVSS moyen de 7,5. Plus critique encore, 89% des organisations ont signalé un incident de sécurité lié à Kubernetes dans l'année écoulée, et une classe de vulnérabilités d'évasion de container dans runc — le runtime qui sous-tend Docker, containerd et les nœuds Kubernetes — a remis en question les hypothèses de l'industrie sur l'isolation des containers.

This guide covers the most critical Kubernetes security vulnerabilities of 2025-2026 — IngressNightmare, runc container escapes, RBAC misconfigurations — with verified data, real CVE analysis, and a practical hardening checklist for development teams running containers in production.

Ce guide couvre les vulnérabilités de sécurité Kubernetes les plus critiques de 2025-2026 — IngressNightmare, évasions de containers runc, mauvaises configurations RBAC — avec des données vérifiées, une analyse des CVE réelles et une checklist de durcissement pratique pour les équipes de développement qui font tourner des containers en production.

89%
Organizations that reported a K8s security incident last year
Organisations ayant signalé un incident de sécurité K8s l'an dernier
Source: Unit 42 Palo Alto Networks, 2026
43%
Cloud environments vulnerable to IngressNightmare (CVE-2025-1974)
Environnements cloud vulnérables à IngressNightmare (CVE-2025-1974)
Source: Wiz Research, March 2025
6,500+
Kubernetes clusters publicly exposing vulnerable ingress controllers
Clusters Kubernetes exposant publiquement des contrôleurs d'entrée vulnérables
Source: Wiz Research / Cybersecurity Dive, 2025
18 min
Average time before internet scanners discover a new exposed cluster
Temps moyen avant que les scanners Internet découvrent un nouveau cluster exposé
Source: N2WS Kubernetes Security Report, 2026

IngressNightmare: The CVE That Can Hand Attackers Your Entire Cluster

IngressNightmare : La CVE Qui Peut Donner aux Attaquants l'Intégralité de Votre Cluster

On March 24, 2025, Wiz Research publicly disclosed five vulnerabilities in the Kubernetes Ingress-NGINX Controller collectively dubbed IngressNightmare. The most severe — CVE-2025-1974 (CVSS 9.8) — allows any unauthenticated attacker on the pod network to achieve remote code execution inside the ingress controller pod. Because ingress-nginx has cluster-wide read access to all Secrets by default, this single vulnerability frequently leads to a complete cluster takeover.

Le 24 mars 2025, Wiz Research a divulgué publiquement cinq vulnérabilités dans le contrôleur Kubernetes Ingress-NGINX, collectivement surnommées IngressNightmare. La plus grave — CVE-2025-1974 (CVSS 9.8) — permet à tout attaquant non authentifié sur le réseau de pods d'atteindre l'exécution de code à distance dans le pod du contrôleur d'entrée. Comme ingress-nginx dispose par défaut d'un accès en lecture à l'ensemble des Secrets du cluster, cette seule vulnérabilité mène fréquemment à une prise de contrôle complète du cluster.

IngressNightmare — Five CVEs, March 24, 2025
CVE-2025-1974   CVSS 9.8 Critical  Unauthenticated RCE via admission webhook
CVE-2025-1097   CVSS 8.8 High      Configuration injection via annotation
CVE-2025-1098   CVSS 8.8 High      Configuration injection via mirror annotation
CVE-2025-24514  CVSS 8.8 High      Configuration injection via auth-url annotation
CVE-2025-24513  CVSS 5.3 Medium    Path traversal in auth-url handling

Affected: ingress-nginx < 1.12.1 or < 1.11.5
Fix:      Upgrade to ingress-nginx 1.12.1+ or 1.11.5+
Impact:   43% of cloud environments, 6,500+ clusters publicly exposed

The attack chain is elegant and devastating. An attacker with access to the pod network sends a crafted Ingress object containing malicious NGINX directives to the Validating Admission Controller (VAC) webhook, which runs with elevated privileges. The VAC processes the object without properly sanitizing embedded directives, leading to RCE in the controller pod. From there, the attacker reads all cluster Secrets and pivots to every workload the service accounts can reach.

La chaîne d'attaque est élégante et dévastatrice. Un attaquant avec accès au réseau de pods envoie un objet Ingress forgé contenant des directives NGINX malveillantes au webhook Validating Admission Controller (VAC), qui s'exécute avec des privilèges élevés. Le VAC traite l'objet sans assainir correctement les directives embarquées, conduisant à un RCE dans le pod du contrôleur. De là, l'attaquant lit tous les Secrets du cluster et pivote vers chaque workload accessible par les comptes de service.

⚠️ Important: Ingress-NGINX is being retired ⚠️ Important : Ingress-NGINX est en cours de retrait

Starting in March 2026, the ingress-nginx project is officially being retired by the Kubernetes community. If you are still running ingress-nginx, patch immediately to 1.12.1+/1.11.5+ and plan your migration to a supported ingress solution (Gateway API, Nginx Gateway Fabric, Traefik, Envoy).

À partir de mars 2026, le projet ingress-nginx est officiellement mis à la retraite par la communauté Kubernetes. Si vous utilisez encore ingress-nginx, patchez immédiatement vers la version 1.12.1+/1.11.5+ et planifiez votre migration vers une solution d'ingress supportée (Gateway API, Nginx Gateway Fabric, Traefik, Envoy).

runc Container Escape Trilogy: CVE-2025-31133, CVE-2025-52565, CVE-2025-52881

La Trilogie d'Évasions runc : CVE-2025-31133, CVE-2025-52565, CVE-2025-52881

On November 5, 2025, three container escape vulnerabilities were disclosed in runc — the OCI container runtime used by Docker, containerd, and every Kubernetes node. Discovered by a researcher at SUSE and disclosed through CNCF, these vulnerabilities exploit race conditions and symlink manipulation during container creation to break out of container isolation entirely.

Le 5 novembre 2025, trois vulnérabilités d'évasion de containers ont été divulguées dans runc — le runtime OCI utilisé par Docker, containerd et chaque nœud Kubernetes. Découvertes par un chercheur de SUSE et divulguées via le CNCF, ces vulnérabilités exploitent des conditions de course et des manipulations de liens symboliques lors de la création des containers pour sortir entièrement de l'isolation des containers.

runc Container Escape CVEs — November 5, 2025
CVE-2025-31133  maskedPaths bypass via /dev/null symlink substitution
                → Attacker redirects sysctl writes to /proc/sysrq-trigger
                → Can crash host or escape container

CVE-2025-52565  /dev/console bind mount race condition
                → Attacker manipulates mount target before security protections apply
                → Mounts arbitrary host paths inside container

CVE-2025-52881  procfs redirect bypassing LSM protections (AppArmor / SELinux)
                → Write to /proc/sys/kernel/core_pattern → container escape

Affected: runc < 1.2.8, < 1.3.3, < 1.4.0-rc.3
Fix:      Upgrade runc to 1.2.8+ / 1.3.3+ / 1.4.0-rc.3+
Mitigation: Enable user namespaces — blocks the most serious aspects of all three

The practical severity of these vulnerabilities depends on your threat model. An attacker needs to run a malicious container on your cluster — which is the starting condition for many supply chain attacks, including the TeamPCP campaign that compromised LiteLLM and Trivy in March 2026. If a compromised dependency is deployed into your cluster, runc CVEs are the next step in the kill chain.

La gravité pratique de ces vulnérabilités dépend de votre modèle de menace. Un attaquant doit pouvoir exécuter un container malveillant dans votre cluster — ce qui est précisément la condition de départ de nombreuses attaques supply chain, dont la campagne TeamPCP qui a compromis LiteLLM et Trivy en mars 2026. Si une dépendance compromise est déployée dans votre cluster, les CVE runc constituent l'étape suivante dans la kill chain.

RBAC Misconfigurations: The Silent Cluster-Admin Handout

Mauvaises Configurations RBAC : La Distribution Silencieuse des Droits cluster-admin

RBAC (Role-Based Access Control) is Kubernetes's primary authorization mechanism — and its most consistently misconfigured component. According to a 2026 analysis by Unit 42, 45% of Kubernetes environments have critical RBAC misconfigurations. The single most common finding: workloads shipped with cluster-admin ClusterRoleBindings, wildcard verbs ("*"), or unrestricted access to serviceaccounts/token — and then forgotten about.

RBAC (Role-Based Access Control) est le mécanisme d'autorisation principal de Kubernetes — et son composant le plus systématiquement mal configuré. Selon une analyse de 2026 par Unit 42, 45% des environnements Kubernetes ont des mauvaises configurations RBAC critiques. La constatation la plus fréquente : des workloads déployés avec des ClusterRoleBindings cluster-admin, des verbes génériques ("*"), ou un accès non restreint à serviceaccounts/token — puis oubliés.

❌ Dangerous RBAC patterns to avoid
# Pattern 1: wildcard verbs (grants everything)
rules:
- apiGroups: ["*"]
  resources: ["*"]
  verbs: ["*"]      # Never do this in production

# Pattern 2: cluster-admin for application pods
roleRef:
  kind: ClusterRole
  name: cluster-admin   # A compromised pod now owns your cluster

# Pattern 3: serviceaccount token over-exposure
rules:
- apiGroups: [""]
  resources: ["serviceaccounts/token"]
  verbs: ["create"]    # Only needed by very specific controllers
✅ Least-privilege RBAC: namespace-scoped read-only example
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: production
  name: app-reader
rules:
- apiGroups: ["apps"]
  resources: ["deployments"]
  verbs: ["get", "list", "watch"]   # Only what the app actually needs

---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  namespace: production
  name: app-reader-binding
subjects:
- kind: ServiceAccount
  name: my-app
  namespace: production
roleRef:
  kind: Role
  name: app-reader
  apiGroup: rbac.authorization.k8s.io

Service accounts outnumber human users by roughly four orders of magnitude in most Kubernetes environments and are 7.5× riskier in practice — they are always-on, often over-privileged, and rarely rotated. Every pod that mounts a service account token automatically gets a credential capable of authenticating to the Kubernetes API. The fix is to set automountServiceAccountToken: false on pods that don't need API access.

Les comptes de service dépassent en nombre les utilisateurs humains d'environ quatre ordres de grandeur dans la plupart des environnements Kubernetes et sont 7,5× plus risqués en pratique — ils sont toujours actifs, souvent sur-privilégiés et rarement renouvelés. Chaque pod qui monte un token de compte de service obtient automatiquement une credential capable de s'authentifier auprès de l'API Kubernetes. Le correctif consiste à définir automountServiceAccountToken: false sur les pods qui n'ont pas besoin d'accès à l'API.

Pod Security Admission: Enforce Container Hardening at the Namespace Level

Pod Security Admission : Enforcer le Durcissement des Containers au Niveau du Namespace

Pod Security Admission (PSA) has been stable since Kubernetes 1.25 and is the official replacement for the deprecated PodSecurityPolicy. It lets you enforce security profiles at the namespace level using three predefined standards: Privileged, Baseline, and Restricted. In 2026, the Restricted profile prevents most of the container escape paths exploited by the runc CVEs above.

Pod Security Admission (PSA) est stable depuis Kubernetes 1.25 et est le remplacement officiel de la PodSecurityPolicy dépréciée. Il vous permet d'appliquer des profils de sécurité au niveau du namespace en utilisant trois standards prédéfinis : Privileged, Baseline et Restricted. En 2026, le profil Restricted empêche la plupart des chemins d'évasion de containers exploités par les CVE runc mentionnées ci-dessus.

Pod Security Admission — applying the Restricted profile
# Apply via namespace labels — no webhook or CRD required
apiVersion: v1
kind: Namespace
metadata:
  name: production
  labels:
    # Enforce: block non-compliant pods
    pod-security.kubernetes.io/enforce: restricted
    pod-security.kubernetes.io/enforce-version: latest

    # Audit: log violations without blocking (for gradual rollout)
    pod-security.kubernetes.io/audit: restricted
    pod-security.kubernetes.io/audit-version: latest

    # Warn: show warnings in kubectl output
    pod-security.kubernetes.io/warn: restricted
    pod-security.kubernetes.io/warn-version: latest
Pod Security Standards comparison
┌─────────────┬──────────────────────────────────────────────────────┐
│  Privileged │ No restrictions. Use ONLY for infrastructure pods.   │
│             │ Never for application workloads.                     │
├─────────────┼──────────────────────────────────────────────────────┤
│  Baseline   │ Prevents known privilege escalations.               │
│             │ Disables: hostPID, hostIPC, hostNetwork,            │
│             │ privileged containers, most hostPath mounts.         │
│             │ Good default for application namespaces.             │
├─────────────┼──────────────────────────────────────────────────────┤
│  Restricted │ Maximum hardening. Requires:                         │
│             │ - runAsNonRoot: true                                 │
│             │ - allowPrivilegeEscalation: false                   │
│             │ - seccompProfile: RuntimeDefault or Localhost        │
│             │ - capabilities drop ALL                              │
│             │ Blocks most container escape paths.                  │
└─────────────┴──────────────────────────────────────────────────────┘

Start with Baseline enforcement and Restricted in audit/warn mode. This gives you visibility into non-compliant workloads without breaking production. Gradually tighten namespaces toward Restricted as your team adapts their Dockerfiles and Helm charts.

Commencez par l'enforcement Baseline et Restricted en mode audit/warn. Cela vous donne une visibilité sur les workloads non conformes sans casser la production. Resserrez progressivement les namespaces vers Restricted au fur et à mesure que votre équipe adapte ses Dockerfiles et charts Helm.

Other Critical Kubernetes CVEs in 2026

Autres CVE Kubernetes Critiques en 2026

Beyond the major vulnerability classes above, 2026 has already produced a steady stream of Kubernetes-adjacent CVEs that development teams need to track:

Au-delà des grandes classes de vulnérabilités mentionnées ci-dessus, 2026 a déjà produit un flux régulier de CVE adjacentes à Kubernetes que les équipes de développement doivent surveiller :

CVSS 9.3 CVE-2025-9074 — Docker Desktop Container Escape

Docker Desktop for Windows and macOS exposes its internal Docker Engine API at 192.168.65.7:2375 without authentication, allowing any container to escape and gain host access. If your team uses Docker Desktop as the Kubernetes local runtime, patch to 4.44.3+. Linux is not affected.

Docker Desktop pour Windows et macOS expose son API Docker Engine interne sur 192.168.65.7:2375 sans authentification, permettant à n'importe quel container d'en sortir et d'obtenir l'accès à l'hôte. Si votre équipe utilise Docker Desktop comme runtime Kubernetes local, patchez vers 4.44.3+. Linux n'est pas affecté.

CVSS 7.5 CVE-2026-33186 — gRPC-Go Authorization Bypass

A vulnerability in gRPC-Go allows servers to accept HTTP/2 requests with improperly formatted path pseudo-headers, potentially bypassing authorization checks. Many Kubernetes service meshes and internal APIs rely on gRPC-Go; verify your version against the advisory.

Une vulnérabilité dans gRPC-Go permet aux serveurs d'accepter des requêtes HTTP/2 avec des pseudo-headers de chemin mal formatés, contournant potentiellement les vérifications d'autorisation. De nombreux service meshes Kubernetes et APIs internes reposent sur gRPC-Go ; vérifiez votre version par rapport à l'advisory.

High Kubernetes NodeRestriction Bypass — Dynamic Resource Allocation

A vulnerability in the NodeRestriction admission controller allows a compromised node to bypass Dynamic Resource Allocation authorization checks, enabling it to create mirror pods that access unauthorized dynamic resources. Affects clusters using DRA (Kubernetes 1.26+).

Une vulnérabilité dans le contrôleur d'admission NodeRestriction permet à un nœud compromis de contourner les vérifications d'autorisation Dynamic Resource Allocation, lui permettant de créer des mirror pods qui accèdent à des ressources dynamiques non autorisées. Affecte les clusters utilisant DRA (Kubernetes 1.26+).

Kubernetes Security Hardening Checklist for 2026

Checklist de Durcissement Sécurité Kubernetes pour 2026

Based on the 2026 vulnerability landscape, here is a prioritized checklist for development teams running Kubernetes in production:

Sur la base du paysage des vulnérabilités 2026, voici une checklist priorisée pour les équipes de développement qui font tourner Kubernetes en production :

Network & Ingress

Réseau & Ingress

  • Upgrade ingress-nginx to 1.12.1+ or 1.11.5+ (IngressNightmare patch). Plan migration to Gateway API by end-2026.
  • Mettre à jour ingress-nginx vers 1.12.1+ ou 1.11.5+ (patch IngressNightmare). Planifier la migration vers l'API Gateway d'ici fin 2026.
  • Disable the Validating Admission Controller webhook if you cannot patch immediately (--validating-webhook flag removal).
  • Désactiver le webhook Validating Admission Controller si vous ne pouvez pas patcher immédiatement (suppression du flag --validating-webhook).
  • Apply NetworkPolicies to every namespace — deny all by default, allow only required traffic explicitly.
  • Appliquer des NetworkPolicies à chaque namespace — tout refuser par défaut, n'autoriser explicitement que le trafic nécessaire.

Runtime & Node Security

Sécurité Runtime & Nœud

  • Upgrade runc to 1.2.8+ / 1.3.3+ (container escape patches for CVE-2025-31133/52565/52881).
  • Mettre à jour runc vers 1.2.8+ / 1.3.3+ (patches d'évasion de containers pour CVE-2025-31133/52565/52881).
  • Enable user namespaces on nodes — blocks most of the serious aspects of runc container escape attacks.
  • Activer les user namespaces sur les nœuds — bloque la plupart des aspects graves des attaques d'évasion de containers runc.
  • Set seccompProfile: RuntimeDefault on all production pods (required by PSA Restricted).
  • Définir seccompProfile: RuntimeDefault sur tous les pods de production (requis par PSA Restricted).
  • Upgrade Docker Desktop to 4.44.3+ for local dev environments (CVE-2025-9074).
  • Mettre à jour Docker Desktop vers 4.44.3+ pour les environnements de développement locaux (CVE-2025-9074).

RBAC & Identity

RBAC & Identité

  • Audit all ClusterRoleBindings with kubectl get clusterrolebindings -o yaml | grep -A5 cluster-admin — remove any non-infrastructure binding.
  • Auditer tous les ClusterRoleBindings avec kubectl get clusterrolebindings -o yaml | grep -A5 cluster-admin — supprimer toute liaison non-infrastructure.
  • Set automountServiceAccountToken: false on all pods that don't need Kubernetes API access.
  • Définir automountServiceAccountToken: false sur tous les pods qui n'ont pas besoin d'accès à l'API Kubernetes.
  • Replace long-lived service account tokens with bound service account tokens (time-limited, audience-bound) — available since Kubernetes 1.21.
  • Remplacer les tokens de comptes de service à longue durée de vie par des bound service account tokens (limités dans le temps, liés à une audience) — disponibles depuis Kubernetes 1.21.
  • Enable audit logging and alert on: cluster-admin bindings created, secrets listed at cluster scope, exec into pods in sensitive namespaces.
  • Activer les journaux d'audit et alerter sur : liaisons cluster-admin créées, secrets listés au niveau du cluster, exec dans des pods de namespaces sensibles.

Workload & Pod Security

Sécurité Workload & Pod

  • Apply Pod Security Admission Restricted to all application namespaces (start with audit, tighten to enforce).
  • Appliquer Pod Security Admission Restricted à tous les namespaces applicatifs (commencer par audit, puis passer à enforce).
  • Every production container must run as non-root (runAsNonRoot: true, runAsUser: 1000+).
  • Chaque container de production doit s'exécuter en tant que non-root (runAsNonRoot: true, runAsUser: 1000+).
  • Set allowPrivilegeEscalation: false and readOnlyRootFilesystem: true on all containers.
  • Définir allowPrivilegeEscalation: false et readOnlyRootFilesystem: true sur tous les containers.
  • Drop ALL capabilities and add back only what is strictly required (capabilities: drop: ["ALL"]).
  • Supprimer TOUTES les capabilities et ne rajouter que ce qui est strictement nécessaire (capabilities: drop: ["ALL"]).
  • Scan base images with a CVE scanner (Trivy, Grype) in CI before every deployment — 87% of images carry high/critical CVEs at any given moment.
  • Scanner les images de base avec un scanner CVE (Trivy, Grype) en CI avant chaque déploiement — 87% des images portent des CVE élevées/critiques à tout moment.

Frequently Asked Questions

Questions fréquentes

Is CVE-2025-1974 (IngressNightmare) still exploitable in 2026?

CVE-2025-1974 (IngressNightmare) est-elle encore exploitable en 2026 ?

Yes, if you haven't patched. Ingress-nginx 1.11.4 and earlier remain vulnerable. Given that ingress-nginx is being retired in 2026, unpatched clusters running older versions are particularly at risk as the project receives no further security updates. Patch to 1.12.1+ or 1.11.5+ immediately, and plan your migration to a supported ingress solution.

Oui, si vous n'avez pas appliqué le patch. Ingress-nginx 1.11.4 et antérieures restent vulnérables. Étant donné qu'ingress-nginx est mis à la retraite en 2026, les clusters non patchés qui tournent sur des versions plus anciennes sont particulièrement à risque car le projet ne reçoit plus de mises à jour de sécurité. Patchez vers 1.12.1+ ou 1.11.5+ immédiatement, et planifiez votre migration vers une solution d'ingress supportée.

Do the runc container escape CVEs affect managed Kubernetes (EKS, GKE, AKS)?

Les CVE d'évasion de containers runc affectent-elles Kubernetes managé (EKS, GKE, AKS) ?

Managed Kubernetes providers (AWS EKS, Google GKE, Azure AKS) patched runc on their managed nodes relatively quickly after the November 2025 disclosure. However, if you manage your own node groups, self-hosted Kubernetes, or use custom AMIs/images for nodes, you are responsible for patching. Check your node's runc version with runc --version and compare against the fixed versions (1.2.8+ / 1.3.3+).

Les fournisseurs Kubernetes managés (AWS EKS, Google GKE, Azure AKS) ont patché runc sur leurs nœuds managés relativement rapidement après la divulgation de novembre 2025. Cependant, si vous gérez vos propres node groups, un Kubernetes auto-hébergé, ou des AMIs/images personnalisées pour les nœuds, vous êtes responsable du patching. Vérifiez la version runc de votre nœud avec runc --version et comparez avec les versions corrigées (1.2.8+ / 1.3.3+).

What is the difference between Pod Security Admission and OPA/Kyverno?

Quelle est la différence entre Pod Security Admission et OPA/Kyverno ?

Pod Security Admission (PSA) is a built-in Kubernetes admission controller that enforces three predefined security profiles. It's zero-configuration overhead and covers the most common hardening requirements. OPA Gatekeeper and Kyverno are policy engines that allow you to write custom policies (e.g., "require all images to come from our internal registry", "deny any Ingress without a rate limit annotation"). Use PSA as your baseline — add OPA/Kyverno when you need custom organizational policies beyond what the three PSA profiles provide.

Pod Security Admission (PSA) est un contrôleur d'admission Kubernetes intégré qui applique trois profils de sécurité prédéfinis. Il n'a pas de surcharge de configuration et couvre les exigences de durcissement les plus courantes. OPA Gatekeeper et Kyverno sont des moteurs de politiques qui permettent d'écrire des politiques personnalisées (ex : "exiger que toutes les images proviennent de notre registry interne", "refuser tout Ingress sans annotation de rate limit"). Utilisez PSA comme base — ajoutez OPA/Kyverno quand vous avez besoin de politiques organisationnelles personnalisées au-delà de ce que les trois profils PSA offrent.

How do I find exposed Kubernetes API servers on my infrastructure?

Comment trouver les serveurs API Kubernetes exposés dans mon infrastructure ?

Use kubectl cluster-info to check where your API server is bound. It should never be reachable from the public internet without authentication. Check your cloud provider's security group / firewall rules to ensure port 6443 (default API server port) is restricted to authorized CIDRs only. Internet scanners find exposed Kubernetes API servers within 18 minutes of them becoming public — do not leave the window open.

Utilisez kubectl cluster-info pour vérifier où votre serveur API est lié. Il ne devrait jamais être accessible depuis l'internet public sans authentification. Vérifiez les règles de groupe de sécurité/pare-feu de votre fournisseur cloud pour s'assurer que le port 6443 (port par défaut du serveur API) est restreint aux CIDRs autorisés uniquement. Les scanners Internet trouvent les serveurs API Kubernetes exposés dans les 18 minutes suivant leur mise en ligne — ne laissez pas la fenêtre ouverte.

How does Kubernetes security relate to dependency vulnerabilities in my container images?

Comment la sécurité Kubernetes est-elle liée aux vulnérabilités de dépendances dans mes images container ?

Container images are essentially frozen snapshots of your application dependencies — Node.js packages, Python libraries, system packages. When a CVE is published against a package in your image, your running pods become vulnerable. A robust Kubernetes security posture requires both cluster-level hardening (RBAC, PSA, network policies) and dependency-level monitoring (knowing which CVEs affect the packages in your running images). The runc escape CVEs are an example: a compromised supply chain package deployed as a container is exactly what makes runc escapes dangerous.

Les images container sont essentiellement des instantanés figés de vos dépendances applicatives — packages Node.js, bibliothèques Python, packages système. Quand une CVE est publiée contre un package dans votre image, vos pods en cours d'exécution deviennent vulnérables. Une posture de sécurité Kubernetes robuste nécessite à la fois un durcissement au niveau du cluster (RBAC, PSA, politiques réseau) et un monitoring au niveau des dépendances (savoir quelles CVE affectent les packages dans vos images en cours d'exécution). Les CVE d'évasion runc en sont un exemple : un package supply chain compromis déployé en tant que container est exactement ce qui rend les évasions runc dangereuses.

Should I use Kubernetes 1.33+ security features like KEP-2579 Seccomp GA?

Devrais-je utiliser les fonctionnalités de sécurité Kubernetes 1.33+ comme Seccomp GA ?

Yes. Between Kubernetes versions 1.32 and 1.35, several security features graduated to stable: enhanced Seccomp profile enforcement, improved authentication via Service Account Token improvements, and stronger workload isolation primitives. The CNCF's 2025 security retrospective highlighted these as the most impactful security improvements of the year. If you're running Kubernetes 1.28 or earlier, upgrading also brings significant security improvements beyond just patch-level CVE fixes.

Oui. Entre les versions Kubernetes 1.32 et 1.35, plusieurs fonctionnalités de sécurité ont atteint le statut stable : enforcement amélioré du profil Seccomp, authentification améliorée via les améliorations des Service Account Tokens, et primitives d'isolation des workloads plus robustes. La rétrospective sécurité 2025 de la CNCF a mis en évidence ces éléments comme les améliorations de sécurité les plus impactantes de l'année. Si vous tournez sur Kubernetes 1.28 ou antérieur, la mise à niveau apporte également des améliorations de sécurité significatives au-delà des simples correctifs CVE.

Monitor Your Container Dependencies Automatically

Surveillez vos Dépendances de Containers Automatiquement

Kubernetes cluster hardening is essential — but it doesn't protect you from vulnerable packages inside your container images. CVE OptiBot scans your lockfiles (package-lock.json, yarn.lock, poetry.lock, composer.lock) daily, alerts you to new CVEs the moment they're published, and generates PDF reports for your team. The same supply chain attacks that enable container escapes start with a vulnerable dependency.

Le durcissement du cluster Kubernetes est essentiel — mais il ne vous protège pas des packages vulnérables à l'intérieur de vos images container. CVE OptiBot scanne vos lockfiles (package-lock.json, yarn.lock, poetry.lock, composer.lock) chaque jour, vous alerte sur les nouvelles CVE dès leur publication et génère des rapports PDF pour votre équipe. Les mêmes attaques supply chain qui permettent les évasions de containers commencent par une dépendance vulnérable.

Start free dependency monitoring Démarrer le monitoring gratuit

Related articles

Articles liés

Docker Container Security 2026 → GitHub Actions Supply Chain Security → SBOM Guide for Developers → CVE Monitoring → All Security Articles →