
【漏洞预警】containerd 命令注入漏洞(CVE-2026-53488)
containerd 是云原生生态中广泛使用的行业标准容器运行时,常作为 Kubernetes 节点的 CRI(Container Runtime Interface)组件。经 containerd 官方确认,其 CRI 插件存在标签信任边界缺陷:CRI 会将镜像配置(Dockerfile LABEL 指令)中的标签直接传播为容器标签,且 未做有效校验。攻击者可通过构造恶意镜像,注入 containerd.io/ 或 io.cri-containerd 等保留命名空间标签。
2026/7/3安全公告3 次阅读
containerdKubernetes
