CRITICAL🇬🇧 English

CVE-2025-59360

Command injection w Chaos Mesh umożliwia RCE w klastrze Kubernetes

CVSS 9.8v3.1pub. 2025-09-15upd. 2025-10-14

Podatność typu OS command injection w komponencie Chaos Controller Manager projektu Chaos Mesh pozwala nieuwierzytelnionym atakującym znajdującym się wewnątrz klastra na zdalne wykonanie kodu. W połączeniu z podatnością CVE-2025-59358 umożliwia przejęcie kontroli nad całym klastrem Kubernetes.

Pokaż oryginał (EN)

The killProcesses mutation in Chaos Controller Manager is vulnerable to OS command injection. In conjunction with CVE-2025-59358, this allows unauthenticated in-cluster attackers to perform remote code execution across the cluster.

🤖 Analiza AI
Jak działa

Mutacja killProcesses w Chaos Controller Manager nie waliduje poprawnie danych wejściowych przed przekazaniem ich do wywołań systemowych, co prowadzi do OS command injection (CWE-78). Atakujący może spreparować odpowiednie dane wejściowe, które zostaną wykonane jako polecenia systemowe w kontekście menedżera. Wykorzystanie tej podatności łącznie z CVE-2025-59358 umożliwia nieuwierzytelnionemu atakującemu wewnątrz klastra przeprowadzenie RCE na wielu węzłach klastra.

Skutki

Atakujący może wykonać dowolny kod na węzłach klastra Kubernetes, uzyskując pełną kontrolę nad poufnością, integralnością i dostępnością zasobów klastra. W scenariuszu łańcuchowego ataku z CVE-2025-59358 możliwe jest całkowite przejęcie klastra.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — patrz pull request https://github.com/chaos-mesh/chaos-mesh/pull/4702. Rekomendowane jest pilne zaktualizowanie Chaos Mesh do wersji zawierającej poprawkę.

Kogo dotyczy

Chaos Mesh (Chaos-Mesh) — wersje wskazane w referencjach producenta

Uwagi

Podatność była analizowana przez badaczy JFrog Security Research i opisana w publikacji blog.jfrog.com pod nazwą 'Chaotic Deputy'. Wymaga połączenia z CVE-2025-59358 w celu uzyskania pełnego, nieuwierzytelnionego dostępu do klastra.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Chaos Mesh

    APP
    Chaos-Mesh
    < 2.7.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCECommand Injection
CWE
Referencje

Powiązane podatności

CVE-2025-59359CRITICAL9.8PL ✓ten sam produkt

Command Injection w Chaos Mesh — RCE w klastrze Kubernetes

CVE-2025-59361CRITICAL9.8PL ✓ten sam produkt

Command injection w Chaos Mesh — nieautoryzowane RCE w klastrze Kubernetes

CVE-2025-59358HIGH7.5ten sam produkt

The Chaos Controller Manager in Chaos Mesh exposes a GraphQL debugging server without authentication to the en...

CVE-2024-36538HIGH8.8ten sam produkt

Insecure permissions in chaos-mesh v2.6.3 allows attackers to access sensitive data and escalate privileges by...