Un fallo crítico de validación de rutas deja expuestos los sistemas de almacenamiento conectados a clústeres de Kubernetes frente a usuarios malintencionados.
La gestión del almacenamiento en la nube acaba de enfrentar un riesgo importante. Este martes 17 de marzo de 2026, se informa sobre el descubrimiento de una vulnerabilidad de salto de directorio (path traversal) en el controlador Container Storage Interface (CSI) para NFS de Kubernetes. Este fallo permite a los atacantes eliminar o modificar de forma no autorizada directorios enteros dentro de los servidores NFS subyacentes.
El Problema: Validación Insuficiente de Rutas
El núcleo de esta vulnerabilidad reside en la forma en que el controlador CSI para NFS maneja el parámetro subDir durante las operaciones de volumen.
- Los atacantes que poseen los permisos necesarios para crear PersistentVolumes haciendo referencia al controlador nfs.csi.k8s.io pueden fabricar identificadores de volumen que contengan secuencias de salto de directorio, como el clásico ../.
- Cuando el controlador procesa operaciones de limpieza o eliminación de dicho volumen, puede terminar operando en directorios que se encuentran muy por fuera de la ruta designada dentro de la exportación NFS.
- Por ejemplo, una entrada maliciosa como /tmp/mount-uuid/legitimate/../../../exports/subdir obligaría al controlador CSI a salir completamente de su alcance establecido, provocando modificaciones o eliminaciones destructivas en el servidor.
¿Quiénes están en Riesgo y Cómo Mitigarlo?
Las organizaciones se encuentran en riesgo potencial si cumplen simultáneamente con estas condiciones:
- Ejecutan el controlador CSI para NFS (nfs.csi.k8s.io) en su clúster de Kubernetes.
- Su clúster permite a usuarios no administradores crear PersistentVolumes haciendo referencia a este controlador CSI.
- La versión del controlador implementada es anterior a la v4.13.1 (momento en que se introdujo la validación correcta).
La principal acción correctiva es actualizar inmediatamente el controlador CSI para NFS a la versión v4.13.1 o posterior, un parche desarrollado por los mantenedores Andy Zhang y Rita Zhang en coordinación con el Comité de Respuesta de Seguridad de Kubernetes.
Como medida preventiva temporal, los administradores deben restringir los privilegios de creación de PersistentVolume exclusivamente a usuarios de máxima confianza y auditar los registros del controlador CSI en busca de operaciones de directorio inesperadas.
