* " Bash scriptben echo és látod is." - miert is tudott barki "exec"-elni a podba???? Mi a pek nathas faszaert volt ez engedve?
Az OP itt talán arra gondolhat ha a konténerben futó szoftver portja elérhető kintről és a szoftverben lévő RCE-n keresztül remote injektált shellel "beesik" Ivan/Vang a konténerbe, akkor amihez a konténer azzal a júzerrel hozzáfér ahhoz Ivan/Vang is hozzáfér.
A védekezés nehezebb része itt kezdődik. Első lépésként ott például egy SQL kliens fut, lehet használni SQL oldalon RLS-t is ha tudja a szerver, de azért eléggé nagy meló ilyen apró least privilege buborékokra szétszálazni az appot meg az architektúrát, ez tény.