ID do boletim: 2026-016-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 17/04/2026 11:15 PDT
 

Descrição:

O driver CSI do Amazon EFS é um driver de Interface de armazenamento de contêineres que permite que os clusters do Kubernetes utilizem o Amazon Elastic File System.

Identificamos a vulnerabilidade CVE-2026-6437, em que um agente com privilégios para criar PersistentVolumes pode inserir opções de montagem arbitrárias por meio de dois campos não validados: o ID do ponto de acesso em volumeHandle e o volumeAttribute mounttargetip. Em ambos os casos, acrescentar valores separados por vírgulas faz com que o utilitário mount os interprete como opções de montagem distintas.

Versões afetadas: Driver CSI do EFS <= v3.0.0

Resolução:

Esse problema foi resolvido na versão 3.0.1 do driver CSI do EFS. Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas:

Restrinja a criação de PersistentVolume e StorageClass aos administradores do cluster por meio do RBAC do Kubernetes, impedindo que usuários não confiáveis forneçam valores arbitrários nos campos.

Referências:

• CVE-2026-6437
• GHSA-mph4-q2vm-w2pw

Agradecimentos:

Gostaríamos de agradecer a Shaul Ben-Hai, da Sentinel One, pela colaboração neste problema por meio do processo coordenado de divulgação de vulnerabilidades.

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.