Bulletin-ID: 2026-016-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Ihre Aufmerksamkeit)
Veröffentlichungsdatum: 17.04.2026, 11.15 Uhr PDT
 

Beschreibung:

Der Amazon EFS CSI-Treiber ist ein Container Storage Interface-Treiber, der es Kubernetes-Clustern ermöglicht, Amazon Elastic File System zu nutzen.

Wir haben CVE-2026-6437 identifiziert, bei dem ein Akteur mit Berechtigungen zur Erstellung von PersistentVolumes beliebige Mount-Optionen über zwei nicht bereinigte Felder einschleusen kann: die Zugangspunkt-ID in volumeHandle und das volumeAttribute mounttargetip. In beiden Fällen führt das Anhängen von durch Kommas getrennten Werten dazu, dass das Mount-Dienstprogramm diese als separate Mount-Optionen interpretiert.

Betroffene Versionen: EFS CSI-Treiber ≤ v3.0.0

Behebung:

Dieses Problem wurde in EFS CSI-Treiber Version v3.0.1 behoben. Wir empfehlen, auf die neueste Version zu aktualisieren und sicherzustellen, dass jeglicher Fork- oder Derivatcode gepatcht wird, um die neuen Korrekturen zu integrieren.

Problemumgehungen:

Beschränken Sie die Erstellung von PersistentVolume und StorageClass mithilfe von Kubernetes RBAC auf Cluster-Administratoren, um zu verhindern, dass nicht vertrauenswürdige Benutzer beliebige Feldwerte angeben.

Referenzen:

• CVE-2026-6437
• GHSA-mph4-q2vm-w2pw

Danksagung:

Wir möchten uns bei Shaul Ben-Hai von Sentinel One für die Zusammenarbeit bei diesem Problem im Rahmen des koordinierten Offenlegungsprozesses für Schwachstellen bedanken.

Bitte senden Sie eine E-Mail an aws-security@amazon.com, wenn Sie Fragen oder Bedenken hinsichtlich der Sicherheit haben.