CRITICAL🇬🇧 English

CVE-2026-24834

Kata Containers: modyfikacja systemu plików VM umożliwia RCE jako root

CVSS 9.3v3.1pub. 2026-02-19upd. 2026-06-30

W Kata Containers przed wersją 3.27.0 istnieje podatność pozwalająca użytkownikowi kontenera na modyfikację systemu plików używanego przez Guest micro VM, co prowadzi do wykonania dowolnego kodu jako root w tej maszynie wirtualnej. Podatność dotyczy konfiguracji z Cloud Hypervisor.

Pokaż oryginał (EN)

Kata Containers is an open source project focusing on a standard implementation of lightweight Virtual Machines (VMs) that perform like containers. In versions prior to 3.27.0, an issue in Kata with Cloud Hypervisor allows a user of the container to modify the file system used by the Guest micro VM ultimately achieving arbitrary code execution as root in said VM. The current understanding is this doesn’t impact the security of the Host or of other containers / VMs running on that Host (note that arm64 QEMU lacks NVDIMM read-only support: It is believed that until the upstream QEMU gains this capability, a guest write could reach the image file). Version 3.27.0 patches the issue.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-732 (nieprawidłowe uprawnienia do zasobu) wynika z niewystarczającej ochrony systemu plików Guest micro VM w Kata Containers przy użyciu Cloud Hypervisor. Użytkownik kontenera może zmodyfikować system plików VM, uzyskując w ten sposób możliwość wykonania dowolnego kodu z uprawnieniami root wewnątrz tej maszyny wirtualnej. Dodatkowe ryzyko dotyczy platform arm64 z QEMU, gdzie brak obsługi trybu tylko do odczytu dla NVDIMM oznacza, że zapis z poziomu gościa może dotrzeć do pliku obrazu na hoście.

Skutki

Atakujący będący użytkownikiem kontenera może uzyskać uprawnienia root wewnątrz Guest micro VM i wykonać w niej dowolny kod. Według obecnej wiedzy podatność nie wpływa bezpośrednio na bezpieczeństwo hosta ani innych kontenerów lub maszyn wirtualnych działających na tym hoście, z wyjątkiem platform arm64 z QEMU, gdzie możliwy jest zapis do pliku obrazu.

Mitygacja

Należy zaktualizować Kata Containers do wersji 3.27.0, która zawiera patch rozwiązujący problem. Szczegóły dostępne w oficjalnym advisory oraz w referencjach producenta.

Kogo dotyczy

Kata Containers w wersjach przed 3.27.0, konfiguracje z Cloud Hypervisor; dodatkowe ryzyko na platformach arm64 z QEMU (brak obsługi NVDIMM read-only)

Uwagi

Producent zaznacza, że na platformach arm64 z QEMU brak obsługi NVDIMM read-only (ograniczenie upstream QEMU) może skutkować tym, że zapis z poziomu gościa dotrze do pliku obrazu na hoście — co rozszerza potencjalny zasięg podatności ponad Guest micro VM.

CVSS Vector
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Katacontainers Kata Containers

    APP
    Katacontainers
    < 3.27.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEContainer
CWE
Referencje

Powiązane podatności

CVE-2026-41326HIGH8.2ten sam produkt

Kata Containers is an open source project focusing on a standard implementation of lightweight Virtual Machine...

CVE-2026-24054HIGH8.8ten sam produkt

Kata Containers is an open source project focusing on a standard implementation of lightweight Virtual Machine...

CVE-2020-27151HIGH8.8ten sam produkt

An issue was discovered in Kata Containers through 1.11.3 and 2.x through 2.0-rc1. The runtime will execute bi...

CVE-2020-28914HIGH7.1ten sam vendor

An improper file permissions vulnerability affects Kata Containers prior to 1.11.5. When using a Kubernetes ho...

CVE-2020-2026HIGH7.8ten sam vendor

A malicious guest compromised before a container creation (e.g. a malicious guest image or a guest running mul...

CVE-2026-24834 — Kata Containers: modyfikacja systemu plików VM umożliwia RCE jako root — CRITICAL 9.3 | CVEbaza.pl