CVE-2026-53492

Nome do Software Vulnerável e Versões Afetadas containerd versões anteriores a 2.1.9 containerd versões anteriores a 2.2.5 containerd versões anteriores a 2.3.2

Description A implementação do CRI confia inadequadamente em anotações da Container Device Interface (CDI) encontradas em metadados de imagens de checkpoint não confiáveis durante a restauração de containers. Em vez de depender exclusivamente da especificação de criação do pod, o sistema preserva anotações relacionadas ao CDI do arquivo de checkpoint. Isso permite que um usuário com permissões de criação de pod ignore a alocação de recursos do Kubernetes e a aplicação de plugins de dispositivo, injetando edições arbitrárias de CDI, como nós de dispositivo e montagens de host, no container restaurado. Este problema requer que o CDI esteja habilitado no nó e que exista uma especificação de CDI de host correspondente para o dispositivo solicitado.

Recommendations Atualize para a versão 2.1.9. Atualize para a versão 2.2.5. Atualize para a versão 2.3.2. Restrinja a restauração de containers a partir de imagens de checkpoint não confiáveis. Remova ou realoque temporariamente as especificações de CDI do host dos diretórios /etc/cdi e /var/run/cdi caso as capacidades de CDI não sejam utilizadas no nó.