公告 ID：2026-016-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 4 月 17 日上午 11:15（太平洋夏令时）
 

描述：

Amazon EFS CSI 驱动程序是一个容器存储接口驱动程序，借助这个驱动程序，Kubernetes 集群能够使用 Amazon Elastic File System。

我们发现了 CVE-2026-6437，其中拥有 PersistentVolume 创建权限的参与者可以通过两个未经过审查的字段注入任意挂载选项：volumeHandle 中的接入点 ID 和 mounttargetip volumeAttribute。在这两种情况下，附加逗号分隔的值都会导致挂载实用程序将其解析为单独的挂载选项。

受影响的版本：EFS CSI 驱动程序 <= v3.0.0

解决方法：

此问题已在 EFS CSI 驱动程序版本 v3.0.1 中予以解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

使用 Kubernetes RBAC 进行限制，仅集群管理员可以创建 PersistentVolume 和 StorageClass，从而防止不受信任的用户提供任意字段值。

参考：

• CVE-2026-6437
• GHSA-mph4-q2vm-w2pw

致谢：

我们非常感谢 Sentinel One 的 Shaul Ben-Hai 通过协调漏洞披露流程针对这个问题进行的合作。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。