公告编号：2026-016 范围：AWS 内容类型：重要（需关注） 发布日期：2026 年 4 月 17 日 上午 11:15（太平洋夏令时）描述：Amazon EFS CSI 驱动是一个容器存储接口（CSI）驱动，允许 Kubernetes 集群使用 Amazon Elastic File System（EFS）。我们已发现漏洞 CVE-2026-6437：拥有 PersistentVolume 创建权限的攻击者可通过两个未经验证处理的字段注入任意挂载选项：volumeHandle 中的访问点 ID（Access Point ID），以及 volumeAttribute 中的挂载目标 IP（mounttargetip）。在这两种情况下，追加逗号分隔的值会导致挂载工具将其解析为多个独立的挂载选项。本漏洞不影响任何 AWS 服务。受影响版本：EFS CSI 驱动 < v3.0.0有关本 AWS 安全公告最新且完整的信息，请参阅下方文章。