赛博昆仑CERT发布通告，指出云原生混沌工程平台Chaos Mesh存在高危命令注入漏洞（CVE-2025-59361）。该漏洞位于无需身份认证的Chaos Controller Manager GraphQL服务器，攻击者可构造恶意查询，在Chaos Daemon中执行任意系统命令。由于Chaos Daemon能在集群内任意Pod上执行命令，攻击者可能最终完全控制整个Kubernetes集群。此漏洞影响Chaos Mesh版本低于v2.7.3，官方已发布新版本修复，建议用户尽快升级。

💡 **Chaos Mesh命令注入漏洞风险**：Chaos Mesh，一个为Kubernetes设计的云原生混沌工程平台，存在一处高危命令注入漏洞（CVE-2025-59361）。该漏洞允许未经验证的攻击者通过构造恶意的GraphQL查询，在Chaos Daemon中执行任意系统命令。

🚀 **集群完全接管的可能性**：由于Chaos Daemon的设计允许其在集群中的任何Pod上执行命令，此漏洞的利用可能导致攻击者最终完全控制整个Kubernetes集群，造成严重的安全威胁。

🛡️ **版本影响与修复建议**：此漏洞影响Chaos Mesh版本低于v2.7.3。官方已发布新版本进行修复，强烈建议受影响的用户尽快升级至安全版本，以防范潜在的攻击。

🔍 **漏洞技术细节**：漏洞存在于Chaos Controller Manager的GraphQL服务器（端口10082），无需身份认证即可利用。PoC（概念验证）已知，但EXP（漏洞利用工具）状态未知。漏洞评分为9.8，利用难度低。

2025-09-18 16:01 广东

漏洞描述

    Chaos Mesh 是由 PingCAP 开源的云原生混沌工程平台，目前由云原生计算基金会（CNCF）孵化。该平台专门为 Kubernetes 环境设计，支持模拟各种故障场景，包括网络延迟、Pod 故障、存储异常等，帮助开发团队提升系统的容错性和可恢复性。Chaos Mesh 在云原生生态系统中占据重要地位，被广泛应用于微服务架构的可靠性测试。

    赛博昆仑CERT监测到Chaos-Mesh 存在命令注入漏洞，漏洞位于 Chaos Controller Manager GraphQL 服务器中，该服务位于 10082 端口且无需经过身份认证。未经过身份认证的攻击者可通过构造恶意GraphQL 查询请求在Chaos Daemon中执行任意系统命令，由于Chaos  Daemon 的设计使其能够在集群中的任何其他 Pod 上执行任意命令，最终攻击者可能进一步完全接管整个集群。

漏洞名称	Chaos-Mesh命令注入漏洞
漏洞公开编号	CVE-2025-59361
昆仑漏洞库编号	CYKL-2025-024087
漏洞类型	命令执行	公开时间	2025-09-16
漏洞等级	高危	评分	9.8
漏洞所需权限	无权限要求	漏洞利用难度	低
PoC状态	已知	EXP状态	未知
漏洞细节	已知	在野利用	未知

影响范围

Chaos-Mesh< v2.7.3

漏洞复现

防护措施

修复建议

目前，官方已发布新版本，建议受影响的用户尽快升级到安全版本。

下载地址：https://github.com/chaos-mesh/chaos-mesh

技术业务咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式，可提供定制化服务适配多种产品及规则，帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务，付费客户(可申请试用)将获取更多技术详情，并支持适配客户的需求。

联系邮箱：cert@cyberkl.com

公众号：赛博昆仑CERT

时间线

    2025年9月18日，赛博昆仑CERT发布漏洞风险通告

阅读原文

跳转微信打开