Platform
go
Component
github.com/rancher/local-path-provisioner
Opgelost in
0.0.34
0.0.34
CVE-2025-62878 is een kritieke Path Traversal kwetsbaarheid in de Rancher Local Path Provisioner, een Kubernetes StorageClass provisioner. Deze kwetsbaarheid stelt een kwaadwillende gebruiker in staat om de parameters.pathPattern te manipuleren en zo PersistentVolumes in willekeurige locaties op de host node te creëren. De kwetsbaarheid treft versies van Rancher Local Path Provisioner die ouder zijn dan 0.0.34. Een upgrade naar de meest recente versie (0.0.34) is vereist om de kwetsbaarheid te verhelpen.
De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie kan leiden tot het overschrijven van gevoelige bestanden op de host node, waardoor een aanvaller mogelijk toegang kan krijgen tot onbedoelde directories en de integriteit van het systeem kan compromitteren. Dit kan resulteren in dataverlies, ongeautoriseerde toegang tot resources en mogelijk zelfs de volledige controle over de Kubernetes node. De mogelijkheid om willekeurige bestanden te overschrijven, maakt dit een ernstige bedreiging voor de beveiliging van Kubernetes clusters.
Op dit moment is er geen informatie beschikbaar over actieve exploits in de wild. Er zijn ook geen publieke Proof-of-Concept (PoC) exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de potentiële ernst aangeeft. De publicatie datum is 2026-02-04, wat betekent dat de kwetsbaarheid recentelijk is ontdekt en gepubliceerd.
Kubernetes clusters utilizing the Rancher Local Path Provisioner are at risk, particularly those with misconfigured storage class definitions or environments where users have the ability to modify storage class parameters. Shared Kubernetes environments and those with legacy storage class configurations are especially vulnerable.
• linux / server:
journalctl -u local-path-provisioner --grep 'pathPattern='• linux / server:
find /var/lib/kubelet/pods -name '*pathPattern=*'• generic web:
Inspect Kubernetes storage class configurations for unusual or suspicious pathPattern values. Look for patterns that include relative path components (e.g., ../).
disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Rancher Local Path Provisioner naar versie 0.0.34 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van gebruikers die StorageClass configuraties kunnen wijzigen. Implementeer strikte toegangscontroles en monitor de Kubernetes audit logs op verdachte activiteiten. Het is ook aan te raden om een Web Application Firewall (WAF) te gebruiken die inkomend verkeer kan filteren en pogingen tot path traversal kan detecteren. Na de upgrade, verifieer de correcte werking door een nieuwe PersistentVolume aan te vragen met een valide pathPattern en controleer of deze correct wordt gecreëerd.
Werk de Local Path Provisioner bij naar versie 0.0.34 of hoger. Deze versie corrigeert de path traversal kwetsbaarheid. De update voorkomt dat kwaadwillende gebruikers de pathPattern parameter manipuleren om toegang te krijgen tot willekeurige locaties op de host node.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-62878 is a critical vulnerability in Rancher Local Path Provisioner allowing attackers to create PersistentVolumes in arbitrary locations, potentially overwriting files.
You are affected if you are using Rancher Local Path Provisioner versions prior to 0.0.34 and are able to modify storage class parameters.
Upgrade to Rancher Local Path Provisioner version 0.0.34 or later. Implement stricter input validation on the parameters.pathPattern if immediate upgrade is not possible.
As of now, there are no known public exploits or active campaigns targeting CVE-2025-62878, but its critical severity warrants prompt patching.
Refer to the Rancher security advisory for detailed information and updates regarding CVE-2025-62878: [https://github.com/rancher/local-path-provisioner/security/advisories/GHSA-xxxx-xxxx-xxxx](Replace with actual advisory URL)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.