Plateforme
go
Composant
github.com/rancher/local-path-provisioner
Corrigé dans
0.0.34
0.0.34
La vulnérabilité CVE-2025-62878 est un problème de traversal de chemin critique découvert dans le composant github.com/rancher/local-path-provisioner. Un attaquant peut exploiter cette faille pour manipuler le paramètre parameters.pathPattern et créer des PersistentVolumes dans des emplacements arbitraires sur le nœud hôte, compromettant potentiellement la sécurité du cluster Kubernetes. Les versions antérieures à 0.0.34 sont vulnérables, et une correction a été publiée.
L'impact de cette vulnérabilité est significatif. Un attaquant peut, en manipulant le paramètre parameters.pathPattern, créer des PersistentVolumes dans des emplacements non autorisés sur le nœud hôte. Cela pourrait permettre l'écrasement de fichiers de configuration critiques, l'accès à des données sensibles stockées sur le nœud, ou même la compromission complète du nœud lui-même. La capacité de créer des volumes arbitraires contourne les mécanismes de contrôle d'accès et d'isolation normalement en place dans Kubernetes. Cette vulnérabilité présente un risque élevé de compromission de la confidentialité, de l'intégrité et de la disponibilité des données et des applications hébergées dans le cluster.
La vulnérabilité CVE-2025-62878 a été publiée le 2026-02-04. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de présence sur le KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement en raison de la simplicité de l'exploitation et de la gravité de la vulnérabilité. Surveillez les forums de sécurité et les dépôts GitHub pour de nouvelles informations.
Kubernetes clusters utilizing the Rancher Local Path Provisioner are at risk, particularly those with misconfigured storage class definitions or environments where users have the ability to modify storage class parameters. Shared Kubernetes environments and those with legacy storage class configurations are especially vulnerable.
• linux / server:
journalctl -u local-path-provisioner --grep 'pathPattern='• linux / server:
find /var/lib/kubelet/pods -name '*pathPattern=*'• generic web:
Inspect Kubernetes storage class configurations for unusual or suspicious pathPattern values. Look for patterns that include relative path components (e.g., ../).
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le composant github.com/rancher/local-path-provisioner vers la version 0.0.34 ou supérieure. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre les permissions de l'utilisateur ou du service Kubernetes qui peut créer des PersistentVolumes. Il est également possible de configurer un Web Application Firewall (WAF) ou un proxy inverse pour filtrer les requêtes malveillantes qui tentent de manipuler le paramètre parameters.pathPattern. Surveillez attentivement les journaux d'audit Kubernetes pour détecter toute tentative de création de PersistentVolumes non autorisés. Après la mise à jour, vérifiez la configuration du StorageClass pour vous assurer que le paramètre pathPattern est correctement configuré et ne permet pas de traversal de chemin.
Mettez à jour le Local Path Provisioner à la version 0.0.34 ou supérieure. Cette version corrige la vulnérabilité de traversal de chemin. La mise à jour empêchera les utilisateurs malveillants de manipuler le paramètre pathPattern pour accéder à des emplacements arbitraires sur le nœud hôte.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-62878 is a critical vulnerability in Rancher Local Path Provisioner allowing attackers to create PersistentVolumes in arbitrary locations, potentially overwriting files.
You are affected if you are using Rancher Local Path Provisioner versions prior to 0.0.34 and are able to modify storage class parameters.
Upgrade to Rancher Local Path Provisioner version 0.0.34 or later. Implement stricter input validation on the parameters.pathPattern if immediate upgrade is not possible.
As of now, there are no known public exploits or active campaigns targeting CVE-2025-62878, but its critical severity warrants prompt patching.
Refer to the Rancher security advisory for detailed information and updates regarding CVE-2025-62878: [https://github.com/rancher/local-path-provisioner/security/advisories/GHSA-xxxx-xxxx-xxxx](Replace with actual advisory URL)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.