Investigadores de ciberseguridad han descubierto cinco vulnerabilidades en Fluent Bit, un agente de telemetría etéreo y de código franco, que podrían encadenarse para comprometer y apoderarse de las infraestructuras de la montón.
Los defectos de seguridad “permiten a los atacantes eludir la autenticación, realizar recorridos de ruta, conseguir la ejecución remota de código, provocar condiciones de denegación de servicio y manipular etiquetas”, dijo Oligo Security en un noticia compartido con The Hacker News.
La explotación exitosa de las fallas podría permitir a los atacantes interrumpir los servicios en la montón, manipular datos y profundizar en la infraestructura de la montón y de Kubernetes. La inventario de vulnerabilidades identificadas es la subsiguiente:
- CVE-2025-12972 – Una vulnerabilidad de trayecto de ruta derivada del uso de títulos de etiquetas no saneados para originar nombres de archivos de salida, lo que hace posible escribir o sobrescribir archivos arbitrarios en el disco, lo que permite la manipulación de registros y la ejecución remota de código.
- CVE-2025-12970 – Una vulnerabilidad de desbordamiento del búfer de pila en el complemento de entrada Docker Metrics (in_docker) que podría permitir a los atacantes activar la ejecución de código o incomunicar el agente creando contenedores con nombres excesivamente largos.
- CVE-2025-12978 – Una vulnerabilidad en la deducción de coincidencia de etiquetas permite a los atacantes falsificar etiquetas confiables, que se asignan a cada evento ingerido por Fluent Bit, adivinando solo el primer carácter de Tag_Key, lo que permite a un atacante redirigir registros, evitar filtros e inyectar registros maliciosos o engañosos bajo etiquetas confiables.
- CVE-2025-12977 – Una nervio de entrada inadecuada de etiquetas derivadas de campos controlados por el beneficiario, lo que permite a un atacante inyectar nuevas líneas, secuencias transversales y caracteres de control que pueden dañar los registros posteriores.
- CVE-2025-12969 – Error una autenticación de seguridad.usuarios en el complemento in_forward que se usa para percibir registros de otras instancias de Fluent Bit usando el protocolo Forward, lo que permite a los atacantes remitir registros, inyectar telemetría falsa e inundar los registros de un producto de seguridad con eventos falsos.
“La cantidad de control habilitada por esta clase de vulnerabilidades podría permitir a un atacante penetrar más profundamente en un entorno de montón para ejecutar código astuto a través de Fluent Bit, mientras dicta qué eventos se registran, sedimento o reescribe entradas incriminatorias para ocultar sus huellas luego de un ataque, inyectando telemetría falsa e inyectando eventos falsos plausibles para engañar a los respondedores”, dijeron los investigadores.
El Centro de Coordinación CERT (CERT/CC), en un aviso independiente, dijo que muchas de estas vulnerabilidades requieren que un atacante tenga ataque a la red de una instancia de Fluent Bit, y agregó que podrían estilarse para eludir la autenticación, ejecutar código remoto, interrumpir el servicio y manipular etiquetas.
Tras una divulgación responsable, los problemas se solucionaron en las versiones 4.1.1 y 4.0.12 lanzadas el mes pasado. Amazon Web Services (AWS), que además participó en la divulgación coordinada, instó a los clientes que ejecutan Fluentbit a poner al día a la última interpretación para una protección óptima.
Dada la popularidad de Fluent Bit adentro de los entornos empresariales, las deficiencias tienen el potencial de perjudicar el ataque a los servicios en la montón, permitir la manipulación de datos y tomar el control del propio servicio de registro.
Otras acciones recomendadas incluyen evitar el uso de etiquetas dinámicas para el enrutamiento, incomunicar rutas de salida y destinos para evitar la expansión o el trayecto de rutas basadas en etiquetas, costar /fluent-bit/etc/ y archivos de configuración como de solo repaso para incomunicar la manipulación del tiempo de ejecución y ejecutar el servicio como usuarios no root.
El mejora se produce más de un año luego de que Tenable detallara una defecto en el servidor HTTP integrado de Fluent Bit (CVE-2024-4323, además conocido como Linguistic Lumberjack) que podría explotarse para conseguir denegación de servicio (DoS), divulgación de información o ejecución remota de código.
