CVE-2026-44543

Nome do Software Vulnerável e Versões Afetadas local-path-provisioner versões anteriores a 0.0.36

Description Um usuário malicioso com permissões para editar o ConfigMap local-path-config no namespace local-path-storage pode manipular o template helperPod.yaml. Este template é usado para criar HelperPods durante as operações de provisionamento e limpeza de PVC, mas não é suficientemente validado antes do uso. Um invasor pode injetar campos sensíveis de segurança, como securityContext.privileged, volumes hostPath e capacidades do Linux no template. Quando uma operação de PVC dispara a criação de um HelperPod, o provisionador utiliza o template controlado pelo invasor, resultando potencialmente em um pod privilegiado executando no nó de destino com o sistema de arquivos raiz do host montado. Isso permite que o invasor acesse arquivos confidenciais do host, leia tokens de ServiceAccount de outros pods no mesmo nó, acesse dados de volume de local-path de outros locatários ou modifique arquivos no nó host.

Recommendations Atualize para a versão 0.0.36 ou posterior. Restrinja o acesso de escrita ao ConfigMap local-path-config no namespace local-path-storage apenas a administradores confiáveis. Marque o ConfigMap local-path-config como imutável. Habilite o Kubernetes Pod Security Admission para o namespace local-path-storage, aplicando a política baseline para evitar a criação de HelperPods privilegiados.