Plataforma
go
Componente
github.com/rancher/local-path-provisioner
Corrigido em
0.0.34
0.0.34
A vulnerabilidade CVE-2025-62878 é uma falha de Path Traversal identificada no componente github.com/rancher/local-path-provisioner. Um atacante pode explorar essa falha para criar PersistentVolumes em locais inesperados no nó do host, comprometendo a integridade dos dados e potencialmente permitindo acesso não autorizado. A vulnerabilidade afeta versões anteriores a 0.0.34 e foi corrigida na versão 0.0.34.
A exploração bem-sucedida desta vulnerabilidade permite que um usuário malicioso manipule o parâmetro parameters.pathPattern para criar PersistentVolumes em qualquer diretório do nó do host. Isso pode levar à sobrescrita de arquivos de configuração críticos, à exfiltração de dados sensíveis armazenados nesses diretórios ou até mesmo à execução de código arbitrário no nó, dependendo das permissões concedidas ao PersistentVolume. O impacto potencial é severo, pois pode comprometer a segurança e a disponibilidade de todo o cluster Kubernetes. A capacidade de criar volumes em locais arbitrários representa um risco significativo para a confidencialidade, integridade e disponibilidade dos dados armazenados.
A vulnerabilidade foi publicada em 2026-02-04. Não há informações disponíveis sobre exploração ativa ou a inclusão em listas como KEV ou EPSS. A ausência de um Proof of Concept (PoC) público reduz o risco imediato, mas a gravidade da vulnerabilidade (CRITICAL) exige atenção e correção proativas.
Kubernetes clusters utilizing the Rancher Local Path Provisioner are at risk, particularly those with misconfigured storage class definitions or environments where users have the ability to modify storage class parameters. Shared Kubernetes environments and those with legacy storage class configurations are especially vulnerable.
• linux / server:
journalctl -u local-path-provisioner --grep 'pathPattern='• linux / server:
find /var/lib/kubelet/pods -name '*pathPattern=*'• generic web:
Inspect Kubernetes storage class configurations for unusual or suspicious pathPattern values. Look for patterns that include relative path components (e.g., ../).
disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-62878 é atualizar o componente github.com/rancher/local-path-provisioner para a versão 0.0.34 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar controles de acesso mais rigorosos aos diretórios do nó do host para limitar o impacto potencial de uma exploração bem-sucedida. Além disso, revise as configurações do StorageClass para garantir que o pathPattern esteja devidamente validado e sanitizado. Após a atualização, verifique se os PersistentVolumes estão sendo criados nos locais esperados e se as permissões estão configuradas corretamente.
Atualize o Local Path Provisioner para a versão 0.0.34 ou superior. Esta versão corrige a vulnerabilidade de path traversal. A atualização evitará que usuários maliciosos manipulem o parâmetro pathPattern para acessar localizações arbitrárias no nó host.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-62878 is a critical vulnerability in Rancher Local Path Provisioner allowing attackers to create PersistentVolumes in arbitrary locations, potentially overwriting files.
You are affected if you are using Rancher Local Path Provisioner versions prior to 0.0.34 and are able to modify storage class parameters.
Upgrade to Rancher Local Path Provisioner version 0.0.34 or later. Implement stricter input validation on the parameters.pathPattern if immediate upgrade is not possible.
As of now, there are no known public exploits or active campaigns targeting CVE-2025-62878, but its critical severity warrants prompt patching.
Refer to the Rancher security advisory for detailed information and updates regarding CVE-2025-62878: [https://github.com/rancher/local-path-provisioner/security/advisories/GHSA-xxxx-xxxx-xxxx](Replace with actual advisory URL)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.