Plattform
go
Komponente
helm.sh/helm/v4
Behoben in
4.0.1
4.1.4
CVE-2026-35205 is a high-severity vulnerability affecting Helm, the package manager for Kubernetes Charts, versions 4.0.0 through 4.1.3. This flaw allows attackers to install plugins without proper provenance (signing), effectively bypassing signature verification. Successful exploitation can lead to arbitrary code execution within the Kubernetes cluster, posing a significant security risk. A patch is available in Helm version 4.1.4.
CVE-2026-35205 in Helm ermöglicht es Plugin-Autoren, Provenienzdaten (Signierung) aus Plugins zu entfernen. Dies betrifft Helm-Versionen >=4.0.0 und <=4.1.3. Normalerweise überprüft Helm die Plugin-Signaturen, um Authentizität und Integrität sicherzustellen. Durch die Umgehung dieser Überprüfung könnte ein Angreifer ein bösartiges Plugin installieren, das mit den Berechtigungen des Helm-Benutzers ausgeführt wird. Die Ausführung von Hooks innerhalb des kompromittierten Plugins könnte zur Ausführung von beliebigem Code auf dem Kubernetes-Cluster führen und potenziell die Sicherheit der gesamten Infrastruktur gefährden.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er ein bösartiges Plugin ohne eine gültige .prov-Datei erstellt. Die Installation dieses Plugins auf einem Kubernetes-Cluster, der Helm in den betroffenen Versionen verwendet, würde es dem Angreifer ermöglichen, die Signaturüberprüfung zu umgehen und beliebigen Code über die Hooks des Plugins auszuführen. Dieses Szenario ist besonders besorgniserregend in Umgebungen, in denen Helm für die automatisierte Anwendungsverwaltung verwendet wird, da sich ein bösartiges Plugin schnell über mehrere Anwendungen und Dienste ausbreiten könnte.
Kubernetes clusters using Helm versions 4.0.0 through 4.1.3 are at direct risk. Organizations relying on Helm for managing applications and configurations within their Kubernetes environments, particularly those with automated plugin installation processes, should prioritize patching. Shared Kubernetes hosting environments are also at increased risk as a compromised plugin could affect multiple tenants.
• linux / server:
find /var/lib/helm/plugins -name '*.so' -not -path '*/.prov' -print• linux / server:
journalctl -u helm -g "plugin installation"• generic web: Inspect Helm plugin repositories for unsigned or poorly signed plugins. Check for unusual plugin installations or modifications.
disclosure
patch
Exploit-Status
EPSS
0.02% (5% Perzentil)
CISA SSVC
Die primäre Abschwächung für diese Schwachstelle ist das Upgrade von Helm auf Version 4.1.4 oder höher. Diese Version behebt das Problem, indem sichergestellt wird, dass die Provenienzüberprüfung korrekt durchgeführt wird. In der Zwischenzeit sollten Sie als Vorsichtsmaßnahme die automatische Plugin-Installation aus nicht vertrauenswürdigen Quellen deaktivieren. Überprüfen Sie außerdem regelmäßig die in Ihrem Kubernetes-Cluster installierten Plugins und stellen Sie sicher, dass sie aus vertrauenswürdigen Quellen stammen. Die Implementierung von Kubernetes-Sicherheitsrichtlinien, die die Berechtigungen von Plugins einschränken, kann ebenfalls dazu beitragen, die Auswirkungen einer potenziellen Ausnutzung zu mildern.
Actualice Helm a la versión 4.1.4 o superior para evitar la instalación de plugins no firmados. La verificación de la procedencia de los plugins se ha reforzado en esta versión, mitigando el riesgo de instalar componentes maliciosos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Eine .prov-Datei enthält Provenzinformationen, einschließlich der digitalen Signatur eines Helm-Plugins. Sie dient dazu, die Authentizität und Integrität des Plugins zu überprüfen.
Helm-Hooks sind Skripte, die zu verschiedenen Zeitpunkten im Lebenszyklus einer Helm-Release ausgeführt werden, z. B. bei der Installation, Aktualisierung oder Löschung.
Führen Sie den Befehl helm version in Ihrem Terminal aus. Dies zeigt die installierte Helm-Version an.
Ja, es gibt mehrere Tools zur Schwachstellenanalyse, die Helm-Plugins analysieren können, z. B. Trivy und Anchore.
Deinstallieren Sie das verdächtige Plugin sofort und überprüfen Sie die Kubernetes-Audit-Protokolle auf ungewöhnliche Aktivitäten.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.