Descoberta e Escopo
Uma vulnerabilidade de travessia de caminho (path traversal) foi identificada no Container Storage Interface (CSI) Driver for NFS do Kubernetes. A falha permite que atacantes excluam ou modifiquem diretórios não intencionais em servidores NFS, comprometendo a integridade dos dados armazenados.
O problema reside na validação insuficiente do parâmetro subDir em identificadores de volume. Quando o driver processa operações de exclusão ou limpeza de volume, ele pode operar em diretórios muito além do escopo gerenciado dentro da exportação NFS.
Impacto e Alcance
Organizações que atendem às seguintes condições estão em risco:
- Executam o CSI Driver for NFS (
nfs.csi.k8s.io) em seu cluster Kubernetes; - Seu cluster permite que usuários não administradores criem PersistentVolumes referenciando o driver NFS CSI;
- A versão do driver CSI implantada não valida sequências de travessia no campo
subDir.
Todas as versões do CSI Driver for NFS anteriores à v4.13.1 são afetadas, pois a correção de validação de travessia foi introduzida nessa release.
Remediação e Mitigação
A correção primária é atualizar o CSI Driver for NFS para a versão v4.13.1 ou posterior. Como medidas provisórias, administradores devem restringir privilégios de criação de PersistentVolumes exclusivamente a usuários confiáveis e auditar as exportações NFS.
Administradores podem verificar se seu cluster está exposto inspecionando PersistentVolumes usando o driver NFS CSI e revisando o campo volumeHandle para sequências de travessia como ../.