速報 ID: 2026-016-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 4 月 17 日 午前 11 時 15 分 (PDT)
 

説明:

Amazon EFS CSI ドライバーは、Kubernetes クラスターが Amazon Elastic File System を使用できるようにするコンテナストレージインターフェイスドライバーです。

当社は、CVE-2026-6437 を特定しました。これは、PersistentVolume の作成権限を持つアクターが、サニタイズされていない 2 つのフィールド (volumeHandle 内のアクセスポイント ID とmounttargetip VolumeAttribute) を介して任意のマウントオプションを注入できるというものです。いずれの場合も、カンマで区切られた値を追加すると、マウントユーティリティはそれらを個別のマウントオプションとして解析します。

影響を受けるバージョン: EFS CSI ドライバー <= v3.0.0

解決方法:

この問題は EFS CSI ドライバーバージョン v3.0.1 で解決されています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

PersistentVolume と StorageClass の作成を Kubernetes RBAC を使用するクラスター管理者のみに制限し、信頼できないユーザーが任意のフィールド値を提供できないようにします。

参考情報:

• CVE-2026-6437
• GHSA-mph4-q2vm-w2pw

謝辞:

協調的脆弱性開示プロセスを通じてこの問題の解決に協力してくださった Sentinel One の Shaul Ben-Hai 氏に感謝いたします。

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。