Qin Ping

**Nome do software vulnerável e versões afetadas** Versões do snapshot-controller do Kubernetes CSI anteriores à 2.1.3 e à 3.0.2 **Descrição** O problema ocorre quando o snapshot-controller do Kubernetes CSI processa um recurso personalizado VolumeSnapshot sob condições específicas: o VolumeSnapshot faz referência a um PersistentVolumeClaim inexistente e não faz referência a nenhum VolumeSnapshotClass. Isso faz com que o snapshot-controller trave e, após a reinicialização automática pelo Kubernetes, entre em um ciclo infinito de travamentos ao processar o mesmo recurso personalizado VolumeSnapshot novamente. A vulnerabilidade afeta apenas o recurso de snapshot de volume, impedindo que os usuários criem snapshots de seus volumes ou excluam snapshots existentes. Todas as outras funcionalidades do Kubernetes permanecem inalteradas. **Recomendações** Para versões anteriores à 2.1.3, atualize para a versão 2.1.3 ou posterior. Para versões anteriores à 3.0.2, atualize para a versão 3.0.2 ou posterior. Como solução alternativa temporária, considere desativar o recurso de snapshot de volume até que um patch esteja disponível. Restrinja o acesso ao recurso personalizado VolumeSnapshot para minimizar o risco de exploração.