लोकल पाथ प्रोविजनर (Local Path Provisioner) parameters.pathPattern के माध्यम से पाथ ट्रावर्सल (Path Traversal) के प्रति संवेदनशील है
प्लेटफ़ॉर्म
go
घटक
github.com/rancher/local-path-provisioner
में ठीक किया गया
0.0.34
0.0.34
CVE-2025-62878 Rancher Local Path Provisioner में एक पथ ट्रैवर्सल भेद्यता है। यह भेद्यता हमलावरों को होस्ट नोड पर मनमाने स्थानों पर PersistentVolumes बनाने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील फ़ाइलों को ओवरराइट किया जा सकता है या अनधिकृत निर्देशिकाओं तक पहुंच प्राप्त की जा सकती है। यह भेद्यता Rancher Local Path Provisioner के संस्करणों को प्रभावित करती है 0.0.34 से पहले। संस्करण 0.0.34 में इस समस्या का समाधान किया गया है।
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।
प्रभाव और हमले की स्थितियाँ
यह भेद्यता Rancher Local Path Provisioner का उपयोग करने वाले Kubernetes क्लस्टर के लिए एक महत्वपूर्ण जोखिम प्रस्तुत करती है। एक हमलावर parameters.pathPattern पैरामीटर में हेरफेर करके PersistentVolumes को मनमाने स्थानों पर बना सकता है। इससे संवेदनशील फ़ाइलों को ओवरराइट किया जा सकता है, जैसे कि कॉन्फ़िगरेशन फ़ाइलें या महत्वपूर्ण डेटा, या अनधिकृत निर्देशिकाओं तक पहुंच प्राप्त की जा सकती है। यह हमलावर को क्लस्टर के भीतर आगे बढ़ने और संभावित रूप से संवेदनशील जानकारी तक पहुंचने या सिस्टम को समझौता करने की अनुमति दे सकता है। यह भेद्यता Log4Shell जैसे शोषण पैटर्न के समान है, जहां एक हमलावर अप्रत्याशित स्थानों पर कोड निष्पादित करने के लिए इनपुट को नियंत्रित करता है।
शोषण संदर्भ
CVE-2025-62878 को अभी तक KEV में जोड़ा नहीं गया है। EPSS स्कोर की जानकारी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने का जोखिम है। यह भेद्यता 2026-02-04 को प्रकाशित हुई थी।
कौन जोखिम में हैअनुवाद हो रहा है…
Kubernetes clusters utilizing the Rancher Local Path Provisioner are at risk, particularly those with misconfigured storage class definitions or environments where users have the ability to modify storage class parameters. Shared Kubernetes environments and those with legacy storage class configurations are especially vulnerable.
पहचान के चरणअनुवाद हो रहा है…
• linux / server:
journalctl -u local-path-provisioner --grep 'pathPattern='• linux / server:
find /var/lib/kubelet/pods -name '*pathPattern=*'• generic web:
Inspect Kubernetes storage class configurations for unusual or suspicious pathPattern values. Look for patterns that include relative path components (e.g., ../).
हमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
- Availability
- उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।
प्रभावित सॉफ्टवेयर
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंड
CVE-2025-62878 को कम करने के लिए, Rancher Local Path Provisioner को संस्करण 0.0.34 में तुरंत अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप Kubernetes नेटवर्क नीतियों का उपयोग करके PersistentVolume निर्माण तक पहुंच को सीमित कर सकते हैं। इसके अतिरिक्त, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके parameters.pathPattern पैरामीटर के लिए इनपुट को मान्य कर सकते हैं, यह सुनिश्चित करते हुए कि यह केवल अपेक्षित प्रारूप का पालन करता है। Rancher Local Path Provisioner के कॉन्फ़िगरेशन की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि किसी भी अनधिकृत PersistentVolume निर्माण का पता लगाया जा सके। अपडेट के बाद, यह सत्यापित करें कि PersistentVolumes अपेक्षित स्थानों पर बनाए जा रहे हैं और कोई संवेदनशील फ़ाइलें ओवरराइट नहीं की गई हैं।
कैसे ठीक करें
लोकल पाथ प्रोविजनर (Local Path Provisioner) को संस्करण 0.0.34 या उच्चतर में अपडेट (update) करें। यह संस्करण पाथ ट्रावर्सल (Path Traversal) भेद्यता को ठीक करता है। अपडेट (update) दुर्भावनापूर्ण उपयोगकर्ताओं को होस्ट नोड (host node) पर मनमाने स्थानों तक पहुंचने के लिए pathPattern पैरामीटर को हेरफेर करने से रोकेगा।
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवाल
CVE-2025-62878 — पथ ट्रैवर्सल Rancher Local Path Provisioner में क्या है?
CVE-2025-62878 Rancher Local Path Provisioner में एक भेद्यता है जो हमलावरों को मनमाने स्थानों पर PersistentVolumes बनाने की अनुमति देती है, जिससे संवेदनशील फ़ाइलों को ओवरराइट किया जा सकता है।
क्या मैं CVE-2025-62878 से Rancher Local Path Provisioner में प्रभावित हूं?
यदि आप Rancher Local Path Provisioner के संस्करण 0.0.34 से पहले उपयोग कर रहे हैं, तो आप प्रभावित हैं।
मैं Rancher Local Path Provisioner में CVE-2025-62878 को कैसे ठीक करूं?
Rancher Local Path Provisioner को संस्करण 0.0.34 में तुरंत अपडेट करें।
क्या CVE-2025-62878 सक्रिय रूप से शोषण किया जा रहा है?
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, भेद्यता की गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने का जोखिम है।
मैं Rancher Local Path Provisioner के लिए CVE-2025-62878 के लिए आधिकारिक सलाहकार कहां पा सकता हूं?
Rancher Local Path Provisioner के लिए आधिकारिक सलाहकार Rancher की वेबसाइट पर उपलब्ध है।
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।