Kubectl cp 命令允许用户在容器和用户机器之间拷贝文件,攻击者可能通过在镜像或运行容器中植入带有符号链接(symbolic links)头的恶意 tar 包,在 cp 命令执行解压过程中修改或监控符号链接头同名目录下的任意文件,造成破坏。该漏洞已经在Kubectl工具的 v1.11.9、v1.12.7、v1.13.5 和 v1.14.0 版本中修复,请参见Install and Set Up kubectl,使用以上版本的 Kubectl 来避免该问题。