CVE-2026-54250
ŚrednieCVSS 5.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
W K3s przed wersjami 1.35.3+k3s1, 1.34.6+k3s1 oraz v1.33.10+k3s1 wykryto podatność polegającą na przechodzeniu po ścieżkach (path traversal) w funkcji dekompresji migawek etcd. Archiwa ZIP zawierające złośliwie nazwane elementy mogą zostać zapisane w dowolnych lokalizacjach systemu plików podczas przywracania skompresowanej migawki etcd przez administratora.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do nadpisania krytycznych plików systemowych lub konfiguracyjnych, co może prowadzić do eskalacji uprawnień, naruszenia integralności klastra lub całkowitego przejęcia kontroli nad węzłem K3s.
Rekomendacja
Należy niezwłocznie zaktualizować K3s do wersji 1.35.3+k3s1, 1.34.6+k3s1 lub v1.33.10+k3s1, w zależności od używanej gałęzi. Przed aktualizacją zaleca się weryfikację integralności migawek etcd pochodzących z niepewnych źródeł.
Oryginalny opis (angielski, źródło NVD)
K3s is a fully conformant production-ready Kubernetes distribution. Prior to 1.35.3+k3s1, 1.34.6+k3s1, v1.33.10+k3s1, a path traversal vulnerability exists in K3s's etcd snapshot decompression functionality. Zip files containing archive members with maliciously crafted names can be written to arbitrary locations on the filesystem when an administrator restores the archive as a compressed etcd snapshot. This vulnerability is fixed in 1.35.3+k3s1, 1.34.6+k3s1, v1.33.10+k3s1.

