Celah Grotesk di Chaos Mesh: RCE dan Over-Takeover Klaster Kubernetes

Celah Grotesk di Chaos Mesh: RCE dan Over-Takeover Klaster Kubernetes

Posted by : Admin , Sep 29, 2025
Peneliti keamanan menemukan beberapa kerentanan kritis di Chaos Mesh (platform open-source untuk chaos engineering di Kubernetes) yang, jika dieksploitasi, memungkinkan penyerang dengan akses minimal ke jaringan klaster melakukan eksekusi kode jauh (RCE), merusak pods, dan bahkan mengambil alih seluruh klaster. Ada empat CVE: CVE-2025-59358 (mengungkap server GraphQL debugging tanpa autentikasi), dan tiga lainnya yaitu CVE-2025-59359, CVE-2025-59360, serta CVE2025-59361 yang memungkinkan injeksi perintah OS lewat mutasi seperti cleanTcs, killProcesses, dan cleanIptables. Chaos Mesh sudah memperbaiki celah tersebut di versi 2.7.3. Bagi pengguna Chaos Mesh, sangat disarankan melakukan pembaruan segera dan membatasi akses ke kontrol server agar tidak terekspos ke pods yang belum dipercaya.

Sumber : https://thehackernews.com/2025/09/chaos-mesh-critical-graphql-flaws.html