Katalog CVE

CVE-2026-41013

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W CloudFoundry Foundation diego-release występuje luka w walidacji danych wejściowych w obsłudze montowania woluminów SMB, która pozwala deweloperom z niskimi uprawnieniami na wstrzykiwanie dowolnych opcji montowania CIFS jądra poprzez ominięcie listy dozwolonych opcji montowania. To umożliwia eskalację uprawnień oraz obejście kontroli bezpieczeństwa na wielo-tenantowych komórkach Diego.

Ocena ryzyka

Organizacja narażona jest na eskalację uprawnień oraz potencjalne naruszenie bezpieczeństwa, co może prowadzić do nieautoryzowanego dostępu do zasobów w środowisku wielo-tenantowym.

Rekomendacja

Zaleca się aktualizację smb-volume-release do wersji 3.60.0 lub nowszej oraz CF Deployment do wersji 56.0.0 lub nowszej, aby zlikwidować tę lukę.

Oryginalny opis (angielski, źródło NVD)

Input validation bypass in SMB volume mount handling in CloudFoundry Foundation diego-release allows low-privileged CF space developer to inject arbitrary kernel CIFS mount options via bypassing the mount-option allowlist, enabling privilege escalation and security control bypass on multi-tenant Diego cells. Affected versions: smb-volume-release: All versions prior to v3.60.0 CF Deployment: All versions prior to v56.0.0

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS