CVE-2025-59054

Nome do Software Vulnerável e Versões Afetadas Versões do dstack anteriores à 0.5.4

Descrição O dstack é um kit de desenvolvimento de software (SDK) projetado para simplificar a implantação de aplicações containerizadas em ambientes de execução confiáveis. Em versões anteriores à 0.5.4, um host malicioso pode fornecer um volume de dados LUKS2 especialmente construído para uma CVM dstack para uso como o ponto de montagem /data. Isso permite que o sistema operacional convidado abra o volume e grave dados sensíveis usando uma chave de volume conhecida pelo atacante, potencialmente levando à exposição de chaves Wireguard e outras informações secretas. O atacante também pode pré-carregar dados no dispositivo, o que poderia comprometer a execução do convidado. O problema decorre do fato de que os metadados do volume LUKS2 não são autenticados e suportam algoritmos de criptografia de chave nula, permitindo que um atacante crie um volume que abre sem erro, grava todas as escritas em texto simples ou com uma chave conhecida pelo atacante e contém dados arbitrários escolhidos pelo atacante.

Recomendações Atualize o dstack para a versão 0.5.4 ou posterior.