V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
nvd

Chaos-mesh

Уязвимости
5
Эксплуатируемые
0
Критический
3
Высокий
2

Топ продуктов

Chaos Mesh5

Топ уязвимостей

CVE-2025-59361Мутация cleanIptables в Chaos Controller Manager уязвима к инъекции команды ОС. В сочетании с CVE-2025-59358 это позволяет неаутентифицированным злоумышленникам в кластере выполнить удалённое выполнение кода по всему кластеру [1]. Источники: - [1] https://github.com/chaos-mesh/chaos-mesh/pull/4702 - [2] https://jfrog.com/blog/chaotic-deputy-critical-vulnerabilities-in-chaos-mesh-lead-to-kubernetes-cluster-takeover
CVE-2025-59360Мутация killProcesses в Chaos Controller Manager уязвима для инъекции команд ОС. В сочетании с CVE-2025-59358 это позволяет неаутентифицированным злоумышленникам внутри кластера выполнять удаленное выполнение кода на всем кластере [1]. Уязвимость связана с тем, что конфигурация CTRL сервера была полностью удалена из скрипта install.sh, вместо того чтобы сделать ее условной, что делает опцию Helm chart неэффективной [2]. Источники: - [1] https://jfrog.com/blog/chaotic-deputy-critical-vulnerabilities-in-chaos-mesh-lead-to-kubernetes-cluster-takeover - [2] https://github.com/chaos-mesh/chaos-mesh/pull/4702
CVE-2025-59359Мутация Mutation cleanTcs в Chaos Controller Manager уязвима к инжекции команд ОС. В сочетании с CVE-2025-59358 это позволяет неаутентифицированным инсайдерам выполнять удаленное выполнение кода по кластеру [1]. Источники: - [1] https://github.com/chaos-mesh/chaos-mesh/pull/4702 - [2] https://jfrog.com/blog/chaotic-deputy-critical-vulnerabilities-in-chaos-mesh-lead-to-kubernetes-cluster-takeover
CVE-2024-36538Небезопасные разрешения в chaos-mesh v2.6.3 позволяют злоумышленникам получать доступ к конфиденциальным данным и повышать привилегии, получая токен учетной записи службы.
CVE-2025-59358В Chaos Mesh Manager контроллер хаоса предоставляет сервер отладки GraphQL без аутентификации для всей Kubernetes-кластера, что обеспечивает API для завершения произвольных процессов в любом Kubernetes-поде, что приводит к общекластерному отказу в обслуживании. Это связано с тем, что сервер chaosctl не был отключен по умолчанию, что могло быть использовано для отправки небезопасных запросов [1]. Проблема была решена путем отключения chaosctl по умолчанию в версии Chaos Mesh #4702 [2]. Источники: - [1] https://github.com/chaos-mesh/chaos-mesh/pull/4702 - [2] https://jfrog.com/blog/chaotic-deputy-critical-vulnerabilities-in-chaos-mesh-lead-to-kubernetes-cluster-takeover
Открыть в каталоге с фильтром по вендору →