PT-2025-37473 · Unknown · Chaos-Mesh

Natan Nehorai

Publicado

2025-09-15

Atualizado

2025-10-06

CVE-2025-59358

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Nome do Software Vulnerável e Versões Afetadas Versões do Chaos Mesh anteriores a 2.7.3

Descrição O Chaos Controller Manager no Chaos Mesh expõe um servidor de depuração GraphQL sem autenticação para todo o cluster Kubernetes. Este servidor fornece uma API que permite aos atacantes encerrar processos arbitrários em qualquer pod do Kubernetes, potencialmente levando a uma negação de serviço em todo o cluster. A vulnerabilidade decorre da ausência de uma verificação de autenticação para uma função crítica dentro do Chaos Controller Manager.

Recomendações Versões anteriores a 2.7.3 devem ser atualizadas para a versão 2.7.3 ou superior.

Exploit

Correção

DoS

Missing Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-306

Identificadores relacionados

CVE-2025-59358

GHSA-2GG8-85M5-8R2P

GO-2025-3951

OPENSUSE-SU-2025:15564-1

SUSE-SU-2025:03289-1

Produtos afetados

Chaos-Mesh

PT-2025-37473 · Unknown · Chaos-Mesh

CVE-2025-59358

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 68