Pesquisadores de segurança identificaram múltiplas vulnerabilidades críticas na plataforma de chaos engineering Chaos Mesh, amplamente utilizada em ambientes Kubernetes. As falhas permitem que um invasor com acesso mínimo à rede interna de um cluster execute comandos arbitrários, comprometa nós e assuma controle total sobre o ambiente.
As vulnerabilidades, classificadas sob o nome Chaotic Deputy, afetam principalmente o servidor GraphQL de depuração do Chaos Controller Manager, que pode ser acessado sem autenticação. Através dele, é possível explorar mutações inseguras que permitem injeção direta de comandos no sistema operacional dos nós do cluster. Com essa brecha, atacantes podem executar funções como matar processos, apagar regras de firewall com comandos de iptables, e manipular diretamente recursos sensíveis do cluster.
Os CVEs atribuídos são CVE 2025 59358, CVE 2025 59359, CVE 2025 59360 e CVE 2025 59361, com pontuações que chegam a 9.8 no escore CVSS, indicando alto risco. A equipe responsável pelo Chaos Mesh lançou a versão 2.7.3 no dia 21 de agosto de 2025 para corrigir todas as falhas. Administradores que utilizam versões anteriores devem aplicar a atualização imediatamente para evitar riscos de comprometimento do ambiente. Enquanto a correção não for aplicada, recomenda se restringir o tráfego de rede que possa alcançar o servidor GraphQL do Chaos Mesh, aplicar regras de firewall internas e revisar permissões associadas ao componente em questão.
