Pular para o conteúdo principal

Problema com o plug-in CRI do containerd - CVE-2026-50195, CVE-2026-53488, CVE-2026-53492, CVE-2026-53489, CVE-2026-47262

ID do boletim: 2026-046-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data da publicação: 18/06/2026 17:30 PDT

Descrição:

O containerd é um runtime de contêineres de código aberto utilizado pelo Kubernetes por meio do plug-in Container Runtime Interface (CRI). Ele serve de base para os serviços de contêineres gerenciados da AWS, incluindo o Amazon Elastic Kubernetes Service (Amazon EKS), o Amazon Elastic Container Service (Amazon ECS), o AWS Fargate, o Bottlerocket e o Amazon Linux. A AWS identificou cinco vulnerabilidades no plug-in CRI do containerd que afetam as versões 1.7 a 2.3

  • CVE-2026-50195 (CVSS 8.8): referências a imagens de ponto de verificação não validadas no plug-in CRI permitem o envenenamento do cache de imagens em nós compartilhados do Kubernetes, habilitando a execução de código entre pods.
  • CVE-2026-53488 (CVSS 8.3): instruções LABEL da configuração da imagem são propagadas para contêineres sem sanitização, possibilitando a execução arbitrária de comandos no host por meio de uma imagem de contêiner manipulada. Esse problema não exige que o recurso de ponto de verificação/restauração esteja habilitado.
  • CVE-2026-53492 (CVSS 6.8): anotações CDI (Container Device Interface) provenientes de metadados de imagens de checkpoint não confiáveis são consideradas confiáveis sem validação, permitindo a injeção de montagens de dispositivos e hosts que contornam as restrições de dispositivos do Kubernetes. Para resolver esse problema, é necessário que o CDI esteja habilitado no nó.
  • CVE-2026-53489 (CVSS 6.5): os caminhos de log de contêineres com links simbólicos não são validados durante a restauração de um ponto de verificação, o que habilita a leitura arbitrária de arquivos do host. Para resolver esse problema, é necessário habilitar o recurso de ponto de verificação/restauração.
  • CVE-2026-47262 (CVSS 6.5): uma imagem de contêiner mal criada pode causar consumo descontrolado de memória, resultando no encerramento do processo containerd por falta de memória e em uma negação de serviço para todos os contêineres no nó afetado.

Versões afetadas: containerd 1.7, 2.0, 2.1, 2.2, 2.3

Resolução:

Esses problemas foram resolvidos no projeto containerd, que está na fase inicial de desenvolvimento. As versões corrigidas estão disponíveis na página de alertas de segurança do containerd no GitHub. Recomendamos realizar um upgrade para a versão mais recente com os patches e garantir que qualquer código derivado ou bifurcado seja atualizado para incorporar as novas correções.

Para clientes que utilizam serviços de contêineres gerenciados da AWS (Amazon EKS, Amazon ECS, AWS Fargate), a AWS está implantando runtimes corrigidos em todas as frotas afetadas. Os clientes que utilizam implantações do containerd autogerenciadas no Amazon EC2 ou on-premises devem fazer upgrade para uma versão corrigida do contêiner o mais rápido possível.

Soluções alternativas:

Para os CVE-2026-50195, CVE-2026-53489 e CVE-2026-53492: desabilitar o recurso de ponto de verificação/restauração no containerd reduz o risco de divulgação indesejada. Para o CVE-2026-53492: além disso, desabilitar o suporte ao CDI nos nós afetados reduz o risco de divulgação indesejada. Não há solução alternativa para as vulnerabilidades CVE-2026-53488 ou CVE-2026-47262, a não ser fazer upgrade para uma versão corrigida.

Referências:

Agradecimento:

Gostaríamos de agradecer ao projeto containerd pela colaboração nesses problemas por meio do processo coordenado de divulgação de vulnerabilidades.


Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.