公告 ID：2026-016-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 4 月 17 日上午 11:15 (太平洋夏令時間)
 

描述：

Amazon EFS CSI 驅動程式是容器儲存介面驅動程式，可讓 Kubernetes 叢集使用 Amazon Elastic File System。

我們發現了 CVE-2026-6437，擁有 PersistentVolume 建立權限的行為者，可透過 2 個未經清理的欄位 (volumeHandle 中的存取點 ID 與 mounttargetip volumeAttribute) 注入任意掛載選項。在這兩種情況下，附加以逗號分隔的數值會導致掛載公用程式將其解析為獨立的掛載選項。

受影響版本：EFS CSI 驅動程式 <= v3.0.0

解決方案：

此問題已在 EFS CSI 驅動程式 v3.0.1 版中解決。建議您升級至最新版本，同時確保對任何分支或衍生程式碼進行了修補，以包含新的修正。

變通方法：

使用 Kubernetes RBAC 將 PersistentVolume 與 StorageClass 的建立權限限制為僅限叢集管理員，以防止不受信任的使用者提供任意欄位值。

參考資料：

• CVE-2026-6437
• GHSA-mph4-q2vm-w2pw

致謝：

我們誠摯感謝 Sentinel One 的 Shaul Ben-Hai 透過協調式漏洞揭露程序，與我們共同處理此問題。

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。