Una falla de path traversal en el CSI Driver para NFS permite que un usuario con permisos para crear PersistentVolumes fuerce operaciones de limpieza fuera del subdirectorio esperado. El fix llega en v4.13.1 y obliga a revisar RBAC, validaciones de volumeHandle y controles sobre exports NFS.
Introducción
Kubernetes publicó una alerta de seguridad para el CSI Driver de NFS (nfs.csi.k8s.io) por una vulnerabilidad identificada como CVE-2026-3864. El problema no afecta al núcleo de Kubernetes, pero sí a un componente operativo muy común en clústeres que usan almacenamiento compartido NFS para cargas stateful, entornos de desarrollo o plataformas internas.
La falla fue clasificada con severidad media (CVSS 6.5), pero su impacto puede ser alto en operaciones reales: un actor con permisos para crear PersistentVolumes puede inyectar secuencias de traversal (../) en volumeHandle y provocar que la limpieza de volúmenes alcance rutas no previstas dentro del servidor NFS. En términos prácticos, eso abre la puerta a borrados o modificaciones fuera del directorio que el equipo esperaba administrar desde el driver.
Qué ocurrió
Según el aviso oficial del Security Response Committee de Kubernetes, el CSI Driver para NFS no validaba de forma suficiente el campo subDir dentro de los identificadores de volumen. Durante tareas de borrado o cleanup, el driver construía rutas en base a ese dato y podía terminar operando en ubicaciones ajenas al subdirectorio legítimo.
El escenario de ataque requiere privilegios altos dentro del clúster (capacidad de crear PersistentVolumes que referencien el driver nfs.csi.k8s.io), por eso el vector no es explotación remota anónima. Sin embargo, en plataformas multi-tenant o en clústeres con delegación amplia de permisos, ese requisito puede cumplirse más fácil de lo deseado.
Kubernetes informó que todas las versiones anteriores a v4.13.1 están afectadas y que la corrección ya está disponible en esa release, donde se introducen validaciones de rutas para evitar traversal.
Impacto para DevOps / Infraestructura / Cloud / Seguridad
Para equipos de plataforma, este caso es especialmente relevante porque combina storage compartido, permisos Kubernetes y seguridad de rutas en sistemas de archivos. Aunque la CVE tenga PR:H en su vector CVSS, el daño operativo puede ser alto cuando varias aplicaciones escriben en un mismo export NFS.
Riesgos concretos: borrado accidental o malicioso de directorios usados por otras apps o tenants; corrupción de datos y recuperación compleja sin snapshots consistentes; interrupciones por pérdida de estado en workloads críticos; y escalamiento del incidente por poca trazabilidad entre la acción en Kubernetes y el efecto final en el servidor NFS.
Detalles técnicos
Técnicamente, la vulnerabilidad aparece cuando el identificador de volumen permite que subDir incluya secuencias como ../. Si ese valor no se normaliza y valida estrictamente antes de operar, una rutina de limpieza puede resolver una ruta final fuera del path permitido.
El aviso recomienda inspeccionar PersistentVolumes que usan el driver NFS y revisar volumeHandle en busca de traversal. También sugiere auditar logs del controlador CSI para patrones de borrado sospechosos, por ejemplo rutas de cleanup con múltiples ../.
El parche en v4.13.1 incorpora validación de mount path. NVD todavía no publicaba ficha completa al cierre de esta edición, algo habitual cuando el CVE está en proceso de sincronización; aun así, el advisory oficial de Kubernetes y el release del driver entregan evidencia suficiente para priorizar la actualización.
Qué deberían hacer los administradores o equipos técnicos
1) Actualizar CSI Driver para NFS a v4.13.1 o superior en todos los clústeres.
2) Revisar RBAC y limitar quién puede crear PersistentVolumes con nfs.csi.k8s.io.
3) Auditar PersistentVolumes existentes, especialmente volumeHandle y subDir.
4) Revisar exports NFS: permisos, ownership, segmentación por entorno y mínimos privilegios.
5) Activar alertas sobre operaciones anómalas de borrado en logs CSI.
6) Verificar estrategia de backup/snapshot para acelerar recuperación ante cambios no esperados.
7) En entornos multi-tenant, separar rutas por tenant y endurecer políticas de aprovisionamiento de storage.
Conclusión
CVE-2026-3864 no es una vulnerabilidad ruidosa, pero sí una que puede tener consecuencias operativas serias. El caso muestra cómo un detalle de validación en rutas termina cruzando fronteras entre seguridad y continuidad del servicio.
Para equipos de DevOps e infraestructura, la respuesta correcta no es solo aplicar el patch: también implica revisar gobernanza de permisos, higiene de storage compartido y detección temprana. En entornos Kubernetes con NFS, actualizar a v4.13.1 debería entrar en la lista corta de acciones inmediatas.
Fuentes
- https://discuss.kubernetes.io/t/security-advisory-cve-2026-3864-csi-driver-for-nfs-path-traversal-via-subdir-may-delete-unintended-directories-on-the-nfs-server/34322
- https://github.com/kubernetes/kubernetes/issues/137797
- https://github.com/kubernetes-csi/csi-driver-nfs/releases/tag/v4.13.1