1. Не доверяйте плагинам — GiveWP 3.14.0 уязвим, но многие до сих пор его не обновили . 2. PHP-CGI — зло — если используете, убедитесь, что версия актуальная (>8.3.8) . 3. Service Account токены — отключайте автоматическое монтирование для подов, которым не нужен доступ к API : spec: automountServiceAccountToken: false 4. Обновляйте runc — версии до 1.1.12 уязвимы для CVE-2024-21626 . 5. Проверяйте sudo-права — если пользователь может запускать runc от root, считайте, что хост скомпрометирован . 💡 Выводы Giveback — это квинтэссенция современных атак на Kubernetes : - WordPress-плагин → первый под - Проксирование → доступ во внутренний кластер - PHP-CGI → второй под - Сервис-аккаунт → кража секретов - runc → побег на хост