NVIDIA Container Toolkit 1.17.3及以下版本在处理CUDA前向兼容性时存在安全漏洞。当容器镜像内存在恶意构造的软链接文件时,libnvidia-container会错误地将主机目录以只读模式挂载到容器内部。攻击者可利用该漏洞绕过容器隔离机制,导致敏感信息窃取或主机权限提升
Kubernetes社区披露了Nginx Ingress相关的一系列安全漏洞,包括CVE-2025-1097、CVE-2025-1098、CVE-2025-1974、CVE-2025-24513、CVE-2025-24514等。 漏洞影响
Kubernetes社区披露了安全漏洞CVE-2025-0426。未认证的攻击者可以向kubelet HTTP只读端口发送大量容器Checkpoint请求,导致磁盘空间迅速被占满,从而完成针对集群节点的DoS拒绝服务攻击。 该漏洞被评估为中危漏洞,CVSS评分为6.4。关于该漏洞的更多信息,请参见#
containerd社区披露了CVE-2024-40635安全漏洞,容器启动时,当设置的UID或GID超过32位有符号整数的最大值时,会导致溢出且最终以root用户(UID 0)的身份启动。攻击者可以利用该漏洞要求容器在非root用户运行的环境下进行非预期的越权攻击。 该漏洞被评估为中危漏洞,CVS
Kubernetes社区披露了安全漏洞CVE-2024-10220。该漏洞允许拥有创建Pod权限的攻击者通过部署Pod并关联gitRepo存储卷,以执行超出容器边界的任意命令。攻击者利用目标Git仓库中的钩子文件夹,逃逸到容器外完成命令执行攻击。 该漏洞被评估为高危漏洞,在CVSS评分为8.1。关于
NVIDIA Container Toolkit 1.16.1及以下版本在使用默认配置时存在一个TOCTOU竞态条件攻击漏洞。该漏洞不会影响容器设备接口(CDI)的使用,但若被成功利用,可能导致容器逃逸,使攻击者能够在宿主机上执行任意命令或获取敏感信息。已知的攻击场景需要受害者使用恶意镜像,并在容器
Kubernetes社区披露了安全漏洞CVE-2024-7646。该漏洞允许具有创建Ingress对象的RBAC权限的用户(在networking.k8s.io 或 extensions API组中)绕过Nginx Ingress Controller的Annotation校验,发起命令注入攻击,并
Kubernetes社区披露了与Windows节点相关的漏洞CVE-2024-5321。如果Kubernetes集群中存在Windows节点,Windows预置的安全组BUILTIN\Users可能会读取节点上的容器日志,而安全组NT AUTHORITY\Authenticated Users可能有
Kubernetes社区披露了安全漏洞CVE-2024-3177,攻击者可以通过在工作负载的容器定义中使用envFrom 字段,绕过ServiceAccount准入插件对Secret挂载的限制,从而导致敏感信息泄漏。该漏洞被评估为低危漏洞,在CVSS的评分为2.7。关于该漏洞的更多信息,请参见#12
近期,Fluid社区披露了安全漏洞CVE-2023-51699。攻击者在获得创建和修改Dataset和JuiceFSRuntime权限的前提下,通过修改其CRD资源,可能对JuiceFSRuntime所部署的工作节点产生潜在的提权安全风险。CVE-2023-51699漏洞被评估为中危漏洞,CVSS的
