Seorang peneliti keamanan bernama Thomas Reed telah menemukan kerentanan kritis dalam implementasi GraphQL yang digunakan oleh Chaos Mesh, sebuah proyek yang dirancang untuk menguji ketahanan sistem melalui serangan yang disimulasikan.
Temuan ini, yang dilaporkan di The Hacker News, berpotensi membuka pintu bagi penyerang untuk mendapatkan akses tidak sah ke aplikasi web yang menggunakan Chaos Mesh untuk validasi dan pengujian.
Kerentanan tersebut terletak pada cara Chaos Mesh menangani permintaan GraphQL, khususnya dalam konteks validasi input. Reed menemukan bahwa Chaos Mesh gagal dengan benar memvalidasi semua kemungkinan input, memungkinkan penyerang untuk menyuntikkan kueri GraphQL yang jahat. Ini membuka celah yang memungkinkan penyerang untuk mengeksekusi kode arbitrer, mengakses data sensitif, atau bahkan mengendalikan sistem yang mendasari.
Kerentanan ini diklasifikasikan sebagai ‘kritikal’ karena dampaknya yang luas. Kerentanan ini dapat dieksploitasi oleh penyerang untuk merusak aplikasi web yang bergantung pada Chaos Mesh untuk pengujian, yang pada gilirannya dapat memengaruhi berbagai organisasi dan bisnis. Dengan mengeksploitasi kerentanan ini, penyerang dapat mencuri data sensitif, mengganggu operasi aplikasi, atau bahkan mengambil kendali atas server yang mendasari.
Oleh para peneliti, kumpulan bug kritis ini disebut sebagai Chaotic Deputy, dengan daftar sebagai berikut:
- CVE-2025-59358 (CVSS score: 7.5) – The Chaos Controller Manager in Chaos Mesh exposes a GraphQL debugging server without authentication to the entire Kubernetes cluster, which provides an API to kill arbitrary processes in any Kubernetes pod, leading to cluster-wide denial-of-service
- CVE-2025-59359 (CVSS score: 9.8) – The cleanTcs mutation in Chaos Controller Manager is vulnerable to operating system command injection
- CVE-2025-59360 (CVSS score: 9.8) – The killProcesses mutation in Chaos Controller Manager is vulnerable to operating system command injection
- CVE-2025-59361 (CVSS score: 9.8) – The cleanIptables mutation in Chaos Controller Manager is vulnerable to operating system command injection
Reed telah menerbitkan laporan rinci tentang kerentanan tersebut, termasuk langkah-langkah untuk mereplikasi dan memverifikasi temuan tersebut. Ia juga memberikan saran tentang cara untuk memperbaiki kerentanan tersebut, yang meliputi menerapkan validasi input yang lebih ketat dan menggunakan pustaka GraphQL yang lebih aman. Penting untuk dicatat bahwa Chaos Mesh adalah proyek yang masih dalam pengembangan aktif dan kerentanan ini ditemukan dalam versi awal proyek tersebut. Namun, temuan ini menyoroti pentingnya validasi input yang ketat dan praktik keamanan dalam semua implementasi GraphQL.
Tim Chaos Mesh telah merespons laporan tersebut dengan cepat, mengakui kerentanan tersebut dan mulai bekerja pada perbaikan. Mereka telah merilis pembaruan yang mengatasi kerentanan tersebut dan menyarankan pengguna untuk segera memperbarui ke versi terbaru. Selain itu, mereka menekankan perlunya pengujian keamanan yang komprehensif dan praktik pengembangan yang aman untuk mencegah kerentanan serupa di masa depan.
Temuan ini berfungsi sebagai pengingat penting bagi pengembang dan organisasi yang menggunakan GraphQL untuk memahami risiko yang terkait dengan implementasi yang tidak aman. Validasi input yang tepat, penggunaan pustaka yang aman, dan praktik keamanan yang ketat sangat penting untuk melindungi aplikasi web dari serangan GraphQL. Kasus ini juga menyoroti pentingnya komunitas keamanan untuk mengidentifikasi dan melaporkan kerentanan, yang pada akhirnya membantu meningkatkan keamanan sistem secara keseluruhan. Kerentanan ini memberikan pelajaran berharga tentang pentingnya berpikir secara kritis tentang potensi dampak kerentanan dalam proyek keamanan dan pentingnya terus-menerus memperbarui dan meningkatkan praktik keamanan.
Referensi: https://chaos-mesh.org/ https://thehackernews.com/2025/09/chaos-mesh-critical-graphql-flaws.html