ID du bulletin : 2026-016-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 17/04/2026 à 11 h 15 (heure du Pacifique)
 

Description :

Le pilote Amazon EFS CSI est un pilote d’interface de stockage de conteneurs qui permet aux clusters Kubernetes d’utiliser Amazon Elastic File System.

Nous avons identifié CVE-2026-6437, dans laquelle un utilisateur disposant de privilèges de création de PersistentVolume peut injecter des options de montage arbitraires via deux champs non validés : l’ID du point d’accès dans volumeHandle et le mounttargetip volumeAttribute. Dans les deux cas, l’ajout de valeurs séparées par des virgules amène l’utilitaire de montage à les analyser en tant qu’options de montage distinctes.

Versions concernées : pilote EFS CSI <= v3.0.0

Résolution :

Ce problème a été résolu dans la version 3.0.1 du pilote EFS CSI. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou issu d’un fork soit mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

Limiter la création de PersistentVolume et StorageClass aux administrateurs de cluster à l’aide du RBAC dans Kubernetes, afin d’empêcher les utilisateurs non autorisés de fournir des valeurs de champ arbitraires.

Références :

• CVE-2026-6437
• GHSA-mph4-q2vm-w2pw

Remerciements :

Nous tenons à remercier Shaul Ben-Hai de Sentinel One pour sa collaboration dans la résolution de ce problème, via un processus de divulgation coordonnée de vulnérabilité.

Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.