Sep 16, 2025Ravie Lakshmananvulnerabilidad / seguridad cibernética de seguridad en la nube han revelado múltiples vulnerabilidades críticas de seguridad en el caos que, si se explotan con éxito, podrían conducir a la adquisición de clúster en los entornos de Kubernetes. «Los atacantes solo necesitan acceso mínimo a la red en el clúster para explotar estas vulnerabilidades, ejecutar las inyecciones de fallas de la plataforma (como apagar las cápsulas o interrumpir las comunicaciones de la red) y realizar más acciones maliciosas, incluido el robo de tokens de cuentas de servicio privilegiados», dijo Jfrog en un informe compartido con The Hacker News. Chaos Mesh es una plataforma de ingeniería de caos de origen abierto que ofrece varios tipos de simulación de fallas y simula varias anormalidades que pueden ocurrir durante el ciclo de vida del desarrollo de software. The issues, collectively called Chaotic Deputy, are listed below – CVE-2025-59358 (CVSS score: 7.5) – The Chaos Controller Manager in Chaos Mesh exposes a GraphQL debugging server without authentication to the entire Kubernetes cluster, which provides an API to kill arbitrary processes in any Kubernetes pod, leading to cluster-wide denial-of-service CVE-2025-59359 (puntaje CVSS: 9.8): la mutación CleanTCS en el administrador del controlador Chaos es vulnerable a la inyección de comandos del sistema operativo CVE-2025-59360 (puntaje CVSS: 9.8)-La mutación de los procesos de asesinato en Chaos el administrador del controlador es vulnerable al comando operativo que está enriqueciendo el comando cVE-2025-2025-5911111 ((la mutación de Kill (en el administrador del controlador Chaos es vulnerable a la puntuación del sistema operativo que está enriqueciendo: 2025-2025-59361 (CVE CVE (CVE CVECTOR CVE (CVE CVECTER CUTER AL SISTEMA DEL SISTEMA OPERADO: CVE-2025-2025-59361 9.8)-La mutación de limpiable en el controlador del controlador del chaos es vulnerable a la inyección de comandos del sistema operativo, un atacante en el clúster, es decir, un actor de amenaza con acceso inicial a la red del clúster, podría encadenar CVE-2025-59359, CVE-2025-59360, CVE-2025-59361, o con CVE-2025-593585858 59358 Cluster, incluso en la configuración predeterminada de la malla del caos. JFrog dijo que las vulnerabilidades se derivan de mecanismos de autenticación insuficientes dentro del servidor GraphQL del Manager del Controlador Chaos, lo que permite a los atacantes no autenticados ejecutar comandos arbitrarios en el demonio del caos, lo que resulta en una adquisición de clúster. Los actores de amenaza podrían aprovechar el acceso a los datos confilados potencialmente confilados, interrumpir los servicios críticos o incluso moverse lateralmente a través del clúster para aumentar los privilegios. Después de la divulgación responsable el 6 de mayo de 2025, Chaos Mesh abordó todas las deficiencias identificadas con la versión de la versión 2.7.3 el 21 de agosto. Se recomienda a los usuarios que actualicen sus instalaciones a la última versión lo antes posible. Si el parche inmediato no es una opción, se recomienda restringir el tráfico de red al Caos Mesh Daemon y el servidor API, y evite ejecutar el Caos Mesh en entornos abiertos o libremente asegurados.