CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-41013

HighCVSS 8.1
Published: Updated: Translated: NVD NIST

Summary

W CloudFoundry Foundation diego-release występuje luka w walidacji danych wejściowych w obsłudze montowania woluminów SMB, która pozwala deweloperom z niskimi uprawnieniami na wstrzykiwanie dowolnych opcji montowania CIFS jądra poprzez ominięcie listy dozwolonych opcji montowania. To umożliwia eskalację uprawnień oraz obejście kontroli bezpieczeństwa na wielo-tenantowych komórkach Diego.

Risk Assessment

Organizacja narażona jest na eskalację uprawnień oraz potencjalne naruszenie bezpieczeństwa, co może prowadzić do nieautoryzowanego dostępu do zasobów w środowisku wielo-tenantowym.

Recommendation

Zaleca się aktualizację smb-volume-release do wersji 3.60.0 lub nowszej oraz CF Deployment do wersji 56.0.0 lub nowszej, aby zlikwidować tę lukę.

Original NVD description (English source)

Input validation bypass in SMB volume mount handling in CloudFoundry Foundation diego-release allows low-privileged CF space developer to inject arbitrary kernel CIFS mount options via bypassing the mount-option allowlist, enabling privilege escalation and security control bypass on multi-tenant Diego cells. Affected versions: smb-volume-release: All versions prior to v3.60.0 CF Deployment: All versions prior to v56.0.0

Vulnerability data from NVD (NIST) · CISA KEV · EPSS