网络安全研究人员披露了Chaos Mesh中存在的多个严重安全漏洞，这些漏洞若被成功利用，可能导致Kubernetes环境中的集群被接管。

JFrog在与《黑客新闻》分享的一份报告中表示：“攻击者只需拥有最低限度的集群内网络访问权限，就能利用这些漏洞，执行平台的故障注入（例如关闭容器或中断网络通信），并实施进一步的恶意行为，包括窃取特权服务账户令牌。”

混沌网格（Chaos Mesh）是一个开源的云原生混沌工程平台，它提供多种类型的故障模拟，并能模拟软件开发生命周期中可能出现的各种异常情况。

这些问题统称为“混沌代理”（Chaotic Deputy），列举如下：

• CVE-2025-59358（CVSS评分：7.5）——Chaos Mesh中的Chaos Controller Manager向整个Kubernetes集群暴露了一个无需认证的GraphQL调试服务器，该服务器提供了一个API，可杀死任何Kubernetes pod中的任意进程，从而导致集群范围的拒绝服务。
• CVE-2025-59359（CVSS评分：9.8）——混沌控制器管理器中的cleanTcs突变存在操作系统命令注入漏洞
• CVE-2025-59360（CVSS评分：9.8）——混沌控制器管理器中的killProcesses突变存在操作系统命令注入漏洞
• CVE-2025-59361（CVSS评分：9.8）——混沌控制器管理器中的cleanIptables突变存在操作系统命令注入漏洞

集群内攻击者，即已初步访问集群网络的威胁行为者，可能会将CVE-2025-59359、CVE-2025-59360、CVE-2025-59361与CVE-2025-59358结合使用，以在整个集群中执行远程代码，即使是在Chaos Mesh的默认配置下也能实现。

JFrog表示，这些漏洞源于Chaos Controller Manager的GraphQL服务器内认证机制不足，这使得未认证的攻击者能够在Chaos Daemon上运行任意命令，从而导致集群被接管。

威胁行为者随后可能会利用这种访问权限，潜在地窃取敏感数据、破坏关键服务，甚至在集群中横向移动以提升权限。

在2025年5月6日进行负责任的披露后，Chaos Mesh已于8月21日发布2.7.3版本，解决了所有发现的缺陷。

建议用户尽快将其安装更新至最新版本。如果无法立即打补丁，建议限制流向Chaos Mesh守护进程和API服务器的网络流量，并避免在开放或安全性较低的环境中运行Chaos Mesh。