Falhas de segurança em ferramenta open-source deixam serviços na nuvem vulneráveis a ataques

Cinco vulnerabilidades consideradas “fáceis de explorar” no Fluent Bit, uma ferramenta open-source de coleta de logs usada em grandes serviços de nuvem, incluindo Google, Amazon, Oracle, IBM e Microsoft, permaneceram abertas por anos, permitindo que invasores criassem uma cadeia de exploração capaz de derrubar serviços na nuvem e alterar dados.

As falhas permitem ignorar autenticação, executar código remotamente e até realizar um ataque DoS. Atualizar para a versão estável mais recente, v4.1.1 / 4.0.12 as corrige.

O Fluent Bit é utilizado para coletar e encaminhar dados. Ele é um agente leve de telemetria para logs, métricas e traces, com mais de 15 bilhões de implantações. A OpenAI, por exemplo, roda o Fluent Bit em todos os seus nós de Kubernetes.

Segundo um pesquisador, pelo menos uma das falhas deixou ambientes em nuvem vulneráveis por mais de 8 anos. A maioria das vulnerabilidades surgiu após a introdução de um novo plugin, ele acrescenta. As vulnerabilidades estão catalogadas como CVE-2025-12977, CVE-2025-12978, CVE-2025-12972, CVE-2025-12970 e CVE-2025-12969.