PT-2021-5366 · Unknown+2 · Kubernetes+1

Fabricio Voznika

+1

·

Publicado

2021-09-15

·

Atualizado

2025-08-08

·

CVE-2021-25741

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Kubernetes (versões afetadas não especificadas)
Descrição
Foi descoberta uma falha de segurança no Kubernetes que permite que um usuário crie um contêiner com montagens de volume em subcaminhos para acessar arquivos e diretórios fora do volume, inclusive no sistema de arquivos do host. A vulnerabilidade está relacionada a um controle de acesso insuficiente e pode ser explorada por um invasor remoto para contornar restrições de segurança. O problema é causado por uma condição de corrida que permite que um invasor crie um link simbólico, concedendo acesso do contêiner à raiz do sistema operacional.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Files Accessible to External Parties

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-552CWE-264CWE-20

Identificadores relacionados

ALT-PU-2021-3453
ALT-PU-2021-3547
ALT-PU-2022-1245
BDU:2021-06196
CVE-2021-25741
ELSA-2021-9526
ELSA-2021-9546
GHSA-F5F7-6478-QM6P
GO-2022-0910
OPENSUSE-SU-2025:15424-1
RHSA-2021:3631
RHSA-2021:3635
RHSA-2021:3642
RHSA-2021:3646

Produtos afetados

Alt Linux
Kubernetes