ID bollettino: 2026-016-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 17/04/2026 11:15 PDT
 

Descrizione:

Il driver CSI di Amazon EFS è un driver Container Storage Interface che consente ai cluster Kubernetes di utilizzare Amazon Elastic File System.

È stata identificata la vulnerabilità CVE-2026-6437, in cui un attore con privilegi di creazione di PersistentVolume può iniettare opzioni di montaggio arbitrarie tramite due campi non sanificati: l’Access Point ID nel volumeHandle e il mounttargetip nel volumeAttribute. In entrambi i casi, l’aggiunta di valori separati da virgole fa sì che l’utility di montaggio interpreti tali valori come opzioni di montaggio distinte.

Versioni interessate: driver CSI di Amazon EFS v3.0.0 o precedenti

Risoluzione:

questa vulnerabilità è stata risolta nella versione v3.0.1 del driver CSI di Amazon EFS. Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione più recente e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.

Soluzioni alternative:

limitare la creazione di PersistentVolume e StorageClass agli amministratori del cluster tramite RBAC di Kubernetes, impedendo agli utenti non affidabili di fornire valori arbitrari nei campi.

Riferimenti:

• CVE-2026-6437
• GHSA-mph4-q2vm-w2pw

Ringraziamenti:

si ringrazia il ricercatore di Shaul Ben-Hai di Sentinel One per aver collaborato alla risoluzione di questo problema attraverso il processo coordinato di divulgazione delle vulnerabilità.

Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.