CVE-2026-53489
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Podatność w containerd pozwala na odczyt dowolnego pliku na hoście przez polecenie kubectl logs. Błąd występuje w pluginie CRI, który przywraca plik container.log z obrazu punktu kontrolnego bez walidacji ścieżki dowiązania symbolicznego.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do odczytu wrażliwych plików systemowych na hoście, co może prowadzić do wycieku danych lub eskalacji uprawnień.
Rekomendacja
Należy niezwłocznie zaktualizować containerd do wersji 2.3.2, 2.2.5 lub 2.1.9, w zależności od używanej gałęzi.
Oryginalny opis (angielski, źródło NVD)
containerd is an open-source container runtime. Versions prior to 2.3.2, 2.2.5 and 2.1.9 contain a bug where the CRI plugin restores container.log from a checkpoint image without validating a symlinked path. This could result in reading an arbitrary file on the host via kubectl logs. This issue has been fixed in versions 2.3.2, 2.2.5 and 2.1.9.

