ID del boletín: 2026-016-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 17/04/2026 11:15 h PDT
 

Descripción:

El controlador de CSI de Amazon EFS es un controlador de interfaz de almacenamiento de contenedores que permite a los clústeres de Kubernetes utilizar Amazon Elastic File System.

Identificamos el error CVE-2026-6437, donde un actor con privilegios de creación de PersistentVolume puede inyectar opciones de montaje arbitrarias a través de dos campos no desinfectados: el ID del punto de acceso en volumeHandle y el volumeAttribute de mounttargettip. En ambos casos, la adición de valores separados por comas hace que la utilidad de montaje los analice como opciones de montaje independientes.

Versiones afectadas: versiones del controlador de CSI de EFS hasta la versión 3.0.0

Resolución:

Este problema se solucionó en la versión v3.0.1 del controlador de CSI de EFS. Recomendamos actualizar a la versión más reciente y verificar que cualquier código derivado o bifurcado incorpore las nuevas revisiones.

Soluciones alternativas:

Restrinja la creación de PersistentVolume y StorageClass a los administradores de clústeres que utilizan el RBAC de Kubernetes, para evitar que los usuarios que no son de confianza proporcionen valores de campo arbitrarios.

Referencias:

• CVE-2026-6437
• GHSA-mph4-q2vm-w2pw

Reconocimiento:

Nos gustaría agradecer a Shaul Ben-Hai de Sentinel One por colaborar en este problema a través del proceso coordinado de divulgación de vulnerabilidades.

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.