CVE-2025-59361

plus petit que 1 minute de lecture

Mis à jour : September 19, 2025

Injection de commande dans Chaos Controller Manager

Une vulnérabilité d’injection de commande (CVE-2025-59361) a été identifiée dans la fonction cleanIptables du Chaos Controller Manager.

Points clés :

Elle permet à des attaquants non authentifiés au sein d’un cluster Kubernetes d’exécuter du code à distance.
Cette faille, combinée à CVE-2025-59358, ouvre la voie à l’exécution de commandes arbitraires.

Vulnérabilité :

CVE-2025-59361 : OS command injection. Des entrées contrôlées par l’utilisateur sont intégrées directement dans des commandes shell avant leur exécution.

Impact potentiel :

Exécution de commandes supplémentaires, comme la copie de tokens de compte de service.
Escalade de privilèges.
Mouvement latéral au sein du cluster.

Recommandations :

Bien que l’article ne détaille pas explicitement les recommandations, l’existence de cette vulnérabilité suggère la nécessité de :

Appliquer les correctifs de sécurité dès qu’ils sont disponibles pour le Chaos Controller Manager.
Surveiller l’activité anormale au sein du cluster.
Mettre en œuvre des politiques de sécurité réseau strictes pour limiter les vecteurs d’attaque potentiels.