Saltar al contenido principal

Problema con el complemento de CRI containerd: CVE-2026-50195, CVE-2026-53488, CVE-2026-53492, CVE-2026-53489, CVE-2026-47262

ID del boletín: 2026-046-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 18/06/2026 17:30 h PDT

Descripción:

containerd es un motor de ejecución de contenedores de código abierto que Kubernetes utiliza a través del complemento Container Runtime Interface (CRI). Es la base de los servicios de contenedores administrados de AWS, incluidos Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), AWS Fargate, Bottlerocket y Amazon Linux. AWS identificó cinco problemas en el complemento de CRI containerd que afectaban a las versiones 1.7 a 2.3:

  • CVE-2026-50195 (CVSS 8.8): las referencias a imágenes de puntos de control no validadas en el complemento de CRI permiten dañar la caché de imágenes en los nodos de Kubernetes compartidos, lo que permite la ejecución de código entre pods.
  • CVE-2026-53488 (CVSS 8.3): las instrucciones LABEL de configuración de imágenes se propagan a los contenedores sin sanearlas, lo que permite la ejecución arbitraria de comandos de host mediante una imagen de contenedor diseñada. Este problema no requiere que el punto de control o la restauración estén habilitados.
  • CVE-2026-53492 (CVSS 6.8): las anotaciones de CDI (interfaz de dispositivos contenedores) de metadatos de imágenes de puntos de control que no son de confianza son confiables sin necesidad de validación, lo que permite la inyección de montaje en dispositivos y hosts sin necesidad de hacer cumplir la ley de dispositivos de Kubernetes. Este problema requiere que el CDI esté habilitado en el nodo.
  • CVE-2026-53489 (CVSS 6.5): las rutas de registro de contenedores enlazadas simbólicamente no se validan durante la restauración del punto de control, lo que permite la lectura arbitraria del archivo host. Este problema requiere que el punto de control o la restauración estén habilitados.
  • CVE-2026-47262 (CVSS 6.5): una imagen de contenedor diseñada puede causar un consumo de memoria descontrolado, lo que provoca la finalización del proceso de containerd por falta de memoria y una denegación de servicio para todos los contenedores del nodo afectado.

Versiones afectadas: containerd 1.7, 2.0, 2.1, 2.2, 2.3

Resolución:

Estos problemas se han abordado en el proyecto containerd ascendente. Las versiones parcheadas están disponibles en la página de notas oficiales sobre seguridad de GitHub de containerd. Recomendamos actualizar a la versión parcheada más reciente y asegurarse de que cualquier código bifurcado o derivado haya sido actualizado para incorporar las nuevas correcciones.

Para los clientes que utilizan los servicios de contenedores administrados de AWS (Amazon EKS, Amazon ECS, AWS Fargate), AWS despliega versiones ejecutables parcheadas en las flotas afectadas. Los clientes que utilicen despliegues de containerd autoadministrados en Amazon EC2 o en una infraestructura local deben actualizarse a una versión de contenedor parcheada lo antes posible.

Soluciones alternativas:

Para CVE-2026-50195, CVE-2026-53489 y CVE-2026-53492: la desactivación de la característica de punto de control/restauración en containerd reduce la posibilidad de que se divulgue de forma no intencionada. Para CVE-2026-53492: la desactivación adicional de la compatibilidad con CDI en los nodos afectados reduce la posibilidad de una divulgación no intencionada. No hay otra solución para el CVE-2026-53488 o el CVE-2026-47262 que no sea actualizar a una versión parcheada.

Referencias:

Reconocimiento:

Agradecemos al proyecto de containerd por su colaboración en la resolución de estos asuntos a través del proceso coordinado de divulgación de vulnerabilidades.


Si tiene alguna pregunta o inquietud sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.