CRITICAL🇬🇧 English

CVE-2025-59361

Command injection w Chaos Mesh — nieautoryzowane RCE w klastrze Kubernetes

CVSS 9.8v3.1pub. 2025-09-15upd. 2025-10-14

Podatność typu OS command injection w komponencie Chaos Controller Manager (mutacja cleanIptables) umożliwia nieuwierzytelnionym atakującym działającym wewnątrz klastra zdalne wykonanie kodu. W połączeniu z CVE-2025-59358 błąd prowadzi do przejęcia kontroli nad całym klastrem Kubernetes.

Pokaż oryginał (EN)

The cleanIptables mutation in Chaos Controller Manager is vulnerable to OS command injection. In conjunction with CVE-2025-59358, this allows unauthenticated in-cluster attackers to perform remote code execution across the cluster.

🤖 Analiza AI
Jak działa

Mutacja cleanIptables w Chaos Controller Manager nie waliduje poprawnie danych wejściowych przekazywanych do poleceń systemowych, co stanowi klasyczny błąd CWE-78 (OS command injection). Atakujący może wstrzyknąć dowolne polecenia systemowe, które zostaną wykonane w kontekście komponentu zarządzającego. W połączeniu z odrębną podatnością CVE-2025-59358 możliwe jest przeprowadzenie ataku bez posiadania jakichkolwiek uprawnień w klastrze, a skutki obejmują wszystkie węzły klastra.

Skutki

Nieuwierzytelniony atakujący z dostępem sieciowym wewnątrz klastra może wykonać dowolny kod zdalnie (RCE) oraz — w połączeniu z CVE-2025-59358 — przejąć pełną kontrolę nad klastrem Kubernetes, uzyskując wysoki poziom poufności, integralności i dostępności zasobów.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — poprawka dostępna w ramach pull requestu #4702 w repozytorium GitHub chaos-mesh/chaos-mesh. Zaleca się pilne zaktualizowanie Chaos Mesh do wersji zawierającej poprawkę oraz ograniczenie dostępu sieciowego do komponentu Chaos Controller Manager wyłącznie do zaufanych podmiotów wewnątrz klastra.

Kogo dotyczy

Chaos Mesh (produkt Chaos-Mesh) — wersje wskazane w referencjach producenta (pull request #4702 na GitHub)

Uwagi

Podatność działa w połączeniu z CVE-2025-59358 — obie luki razem umożliwiają przejęcie klastra Kubernetes przez nieuwierzytelnionego atakującego. Szczegółowa analiza techniczna dostępna w blogu JFrog ('Chaotic Deputy: Critical Vulnerabilities in Chaos Mesh Lead to Kubernetes Cluster Takeover').

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Chaos Mesh

    APP
    Chaos-Mesh
    < 2.7.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCECommand Injection
CWE
Referencje

Powiązane podatności

CVE-2025-59359CRITICAL9.8PL ✓ten sam produkt

Command Injection w Chaos Mesh — RCE w klastrze Kubernetes

CVE-2025-59360CRITICAL9.8PL ✓ten sam produkt

Command injection w Chaos Mesh umożliwia RCE w klastrze Kubernetes

CVE-2025-59358HIGH7.5ten sam produkt

The Chaos Controller Manager in Chaos Mesh exposes a GraphQL debugging server without authentication to the en...

CVE-2024-36538HIGH8.8ten sam produkt

Insecure permissions in chaos-mesh v2.6.3 allows attackers to access sensitive data and escalate privileges by...

CVE-2025-59361 — Command injection w Chaos Mesh — nieautoryzowane RCE w klastrze Kubernetes — CRITICAL 9.8 | CVEbaza.pl