CRITICAL🇬🇧 English

CVE-2025-59359

Command Injection w Chaos Mesh — RCE w klastrze Kubernetes

CVSS 9.8v3.1pub. 2025-09-15upd. 2025-10-14

Mutacja cleanTcs w komponencie Chaos Controller Manager jest podatna na OS command injection, co w połączeniu z CVE-2025-59358 umożliwia nieuwierzytelnionym atakującym znajdującym się wewnątrz klastra zdalne wykonanie kodu. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co czyni ją ekstremalnie niebezpieczną w środowiskach Kubernetes.

Pokaż oryginał (EN)

The cleanTcs mutation in Chaos Controller Manager is vulnerable to OS command injection. In conjunction with CVE-2025-59358, this allows unauthenticated in-cluster attackers to perform remote code execution across the cluster.

🤖 Analiza AI
Jak działa

Atakujący wewnątrz klastra może przekazać złośliwie spreparowane dane do mutacji cleanTcs w Chaos Controller Manager, która nie waliduje poprawnie wejścia przed przekazaniem go do wywołania systemowego. Prowadzi to do wstrzyknięcia dowolnych poleceń systemowych (OS command injection, CWE-78). W połączeniu z CVE-2025-59358, możliwe jest przeprowadzenie ataku bez uwierzytelnienia, co finalnie pozwala na wykonanie kodu na poziomie całego klastra.

Skutki

Nieuwierzytelniony atakujący z dostępem do sieci klastra może przejąć pełną kontrolę nad klastrem Kubernetes poprzez zdalne wykonanie kodu (RCE), co zagraża poufności, integralności i dostępności wszystkich zasobów klastra.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły w pull requeście #4702 na oficjalnym repozytorium GitHub projektu Chaos Mesh. Dodatkowo należy ograniczyć dostęp sieciowy do komponentu Chaos Controller Manager wyłącznie do zaufanych podmiotów wewnątrz klastra do czasu wdrożenia poprawki.

Kogo dotyczy

Chaos Mesh (Chaos Controller Manager) — wersje wskazane w referencjach producenta (pull request naprawczy: https://github.com/chaos-mesh/chaos-mesh/pull/4702)

Uwagi

Podatność wymaga wykorzystania łącznie z CVE-2025-59358, aby umożliwić nieuwierzytelniony dostęp. Szczegółowa analiza techniczna dostępna jest w blogu JFrog pod nazwą 'Chaotic Deputy: Critical Vulnerabilities in Chaos Mesh Lead to Kubernetes Cluster Takeover'.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Chaos Mesh

    APP
    Chaos-Mesh
    < 2.7.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCECommand Injection
CWE
Referencje

Powiązane podatności

CVE-2025-59360CRITICAL9.8PL ✓ten sam produkt

Command injection w Chaos Mesh umożliwia RCE w klastrze Kubernetes

CVE-2025-59361CRITICAL9.8PL ✓ten sam produkt

Command injection w Chaos Mesh — nieautoryzowane RCE w klastrze Kubernetes

CVE-2025-59358HIGH7.5ten sam produkt

The Chaos Controller Manager in Chaos Mesh exposes a GraphQL debugging server without authentication to the en...

CVE-2024-36538HIGH8.8ten sam produkt

Insecure permissions in chaos-mesh v2.6.3 allows attackers to access sensitive data and escalate privileges by...

CVE-2025-59359 — Command Injection w Chaos Mesh — RCE w klastrze Kubernetes — CRITICAL 9.8 | CVEbaza.pl