Kubernetes 中发现了一个高严重性漏洞，攻击者可能利用该漏洞在容器边界外执行任意命令。该漏洞被追踪为 CVE-2024-10220，CVSS 得分为 8.1，影响运行特定版本 kubelet 的 Kubernetes 群集。

该漏洞利用了 gitRepo 卷，这是一种用于将 Git 仓库克隆到 pod 的功能。通过操纵目标存储库中的钩子文件夹，攻击者可以执行超出预期容器限制的命令。

kubernetes 问题解释说：“这个漏洞利用目标资源库中的钩子文件夹，在容器边界外运行任意命令。这可能会让恶意行为者在未经授权的情况下访问敏感数据、提升权限并危及整个 Kubernetes 集群。”

受影响的 kubelet 版本包括

• v1.30.0 至 v1.30.2
• v1.29.0 至 v1.29.6
• <= v1.28.11

为缓解该漏洞，Kubernetes 用户应将其集群升级到其中一个修复版本：

• 主版本/v1.31.0
• v1.30.3
• v1.29.7
• v1.28.12

由于 gitRepo 卷已被弃用，建议的解决方案是迁移到其他功能。Kubernetes 建议使用 init 容器执行 Git 克隆操作，并将生成的目录挂载到 pod 的容器中。

该漏洞最初于 7 月份披露，它强调了随时了解安全更新并及时应用必要补丁的重要性。