Plataforma
go
Componente
github.com/rancher/local-path-provisioner
Corregido en
0.0.34
0.0.34
La vulnerabilidad CVE-2025-62878 es un fallo de recorrido de directorio (Path Traversal) descubierto en el componente github.com/rancher/local-path-provisioner. Esta vulnerabilidad permite a un usuario malicioso manipular el parámetro parameters.pathPattern para crear PersistentVolumes en ubicaciones arbitrarias dentro del nodo host, comprometiendo potencialmente la seguridad del clúster. Afecta a versiones anteriores a 0.0.34 y se recomienda actualizar a la versión corregida para mitigar el riesgo.
El impacto de esta vulnerabilidad es significativo. Un atacante puede explotarla para crear PersistentVolumes en ubicaciones no autorizadas dentro del nodo host. Esto podría resultar en la sobreescritura de archivos de configuración críticos, la modificación de datos sensibles o incluso la ejecución de código arbitrario en el nodo. La capacidad de manipular la ubicación de los PersistentVolumes permite a un atacante eludir las restricciones de seguridad y acceder a recursos que normalmente estarían protegidos. La gravedad de la vulnerabilidad radica en su potencial para comprometer la integridad y confidencialidad de los datos almacenados en el clúster Kubernetes.
La vulnerabilidad CVE-2025-62878 fue publicada el 2026-02-04. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos de producción, pero la alta puntuación CVSS (9.9) indica un riesgo significativo. La disponibilidad de un proof-of-concept (POC) público podría facilitar la explotación por parte de actores maliciosos. Se recomienda monitorear activamente los sistemas afectados y aplicar la mitigación lo antes posible.
Kubernetes clusters utilizing the Rancher Local Path Provisioner are at risk, particularly those with misconfigured storage class definitions or environments where users have the ability to modify storage class parameters. Shared Kubernetes environments and those with legacy storage class configurations are especially vulnerable.
• linux / server:
journalctl -u local-path-provisioner --grep 'pathPattern='• linux / server:
find /var/lib/kubelet/pods -name '*pathPattern=*'• generic web:
Inspect Kubernetes storage class configurations for unusual or suspicious pathPattern values. Look for patterns that include relative path components (e.g., ../).
disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-62878 es actualizar a la versión 0.0.34 o superior de github.com/rancher/local-path-provisioner. Si la actualización causa problemas de compatibilidad, considere la posibilidad de implementar una solución temporal como restringir el acceso al componente a través de políticas de red o implementar controles de acceso basados en roles (RBAC) más estrictos. Además, revise y endurezca las configuraciones existentes de StorageClass para evitar patrones de ruta potencialmente peligrosos. Después de la actualización, verifique que los PersistentVolumes se creen en las ubicaciones esperadas y que no haya archivos sensibles expuestos.
Actualice el Local Path Provisioner a la versión 0.0.34 o superior. Esta versión corrige la vulnerabilidad de path traversal. La actualización evitará que usuarios maliciosos manipulen el parámetro pathPattern para acceder a ubicaciones arbitrarias en el nodo host.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-62878 is a critical vulnerability in Rancher Local Path Provisioner allowing attackers to create PersistentVolumes in arbitrary locations, potentially overwriting files.
You are affected if you are using Rancher Local Path Provisioner versions prior to 0.0.34 and are able to modify storage class parameters.
Upgrade to Rancher Local Path Provisioner version 0.0.34 or later. Implement stricter input validation on the parameters.pathPattern if immediate upgrade is not possible.
As of now, there are no known public exploits or active campaigns targeting CVE-2025-62878, but its critical severity warrants prompt patching.
Refer to the Rancher security advisory for detailed information and updates regarding CVE-2025-62878: [https://github.com/rancher/local-path-provisioner/security/advisories/GHSA-xxxx-xxxx-xxxx](Replace with actual advisory URL)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.