关键信息总结 漏洞概述 CVE编号: CVE-2025-62878 GHSA ID: GHSA-jr3w-9vfr-c746 漏洞类型: 路径遍历(Path Traversal) 严重程度: Critical (CVSS v3 score: 10.0) 影响范围 受影响的版本: < 0.0.34 修复版本: 0.0.34 以后 描述 包名: github.com/rancher/local-path-provisioner 问题: 恶意用户可以操纵 创建在主机节点上任意位置的 PersistentVolumes,这可能导致覆盖敏感文件或访问未授权的目录。 解决方案和修复 修复措施: - 验证并规范化 以确保生成的 PersistentVolume 路径始终解析在配置的基本路径之下。 - 拒绝使用相对路径元素(如 )的路径遍历尝试。 建议: 升级到 v0.0.34 或者更高版本。 工作区推诿 无替代方案,用户必须升级到修补后的版本以完全减缓此漏洞。 联系信息 安全团队: 联系 SUSE Rancher Security team 问题报告: 在 Rancher 存储库中打开问题 CVE信息参考链接 GHSA Source Code