CVE-2025-59358

Chaos Mesh : Vulnérabilité Critique dans le Manager du Contrôleur

Une faille de sécurité, identifiée sous la référence CVE-2025-59358, a été découverte dans Chaos Mesh, une plateforme d’ingénierie du chaos pour Kubernetes. Le problème réside dans le Chaos Controller Manager, qui expose un serveur de débogage GraphQL sans aucune authentification à l’ensemble du cluster Kubernetes.

Ce serveur met à disposition une API permettant de terminer des processus arbitraires au sein de n’importe quel pod Kubernetes. L’absence de mécanismes d’authentification sur ce point d’accès expose l’interface GraphQL et son point de requête à un accès non autorisé. Un attaquant disposant d’un accès réseau minimal au cluster pourrait exploiter cette vulnérabilité pour injecter des fautes de manière non autorisée, avec pour conséquence potentielle un déni de service à l’échelle du cluster.

Points Clés :

• Chaos Mesh est affecté par la CVE-2025-59358.
• Le Chaos Controller Manager expose un serveur de débogage GraphQL sans authentification.
• Ce serveur permet de tuer des processus dans n’importe quel pod Kubernetes.

Vulnérabilité :

• CVE-2025-59358 : Exécution de commandes arbitraires via un serveur GraphQL non authentifié.

Recommandations :

• Il est crucial de sécuriser le serveur de débogage GraphQL en mettant en place des mécanismes d’authentification appropriés.
• Restreindre l’accès réseau au Chaos Controller Manager pour les acteurs non autorisés.

Source