¿Qué le pasó a Trivy?

La cadena de suministro de Trivy se vio comprometida, lo que llevó a la distribución de versiones maliciosas del binario de Trivy, las imágenes de contenedor y las acciones de GitHub. Estos componentes maliciosos contenían código diseñado para robar credenciales y otra información confidencial. Los usuarios que utilizaron las versiones afectadas durante el período de exposición están en riesgo.

¿Qué debo hacer si utilicé una versión comprometida de Trivy?

Si utilizó una versión comprometida de Trivy, debe actualizar inmediatamente a una versión segura (v0.69.2, v0.69.3 para binarios; v0.35.0 para trivy-action; v0.2.6 para setup-trivy). Además, debe rotar todos los secretos potencialmente expuestos, auditar sus versiones de Trivy y las referencias de GitHub Action, y buscar cualquier signo de exfiltración.

¿Cómo puedo prevenir futuros ataques a la cadena de suministro?

Para evitar futuros ataques a la cadena de suministro, ancle sus acciones de GitHub a hashes SHA completos en lugar de utilizar etiquetas mutables. Supervise periódicamente sus dependencias en busca de vulnerabilidades y actividades sospechosas. Implemente controles de acceso sólidos y prácticas de gestión de credenciales para minimizar el riesgo de compromiso.

Compromiso de la cadena de suministro de Trivy: CVE-2026-33634

Q: ¿Cómo sé si estoy afectado por el compromiso de Trivy?

Se ve afectado si descargó o utilizó los binarios de Trivy versión v0.69.4, las imágenes de contenedor v0.69.4, v0.69.5 y v0.69.6, cualquier etiqueta anterior excepto 0.35.0 (0.0.1 – 0.34.2) para hacer referencia a `trivy-action`, el parámetro `version: latest` de la acción explícitamente (no el predeterminado) durante el período de exposición del binario trivy, el anclaje SHA a una confirmación anterior al 2025-04-09 y cualquier versión sin anclaje de `setup-trivy` durante el período de exposición. Compruebe sus registros y flujos de trabajo para ver el uso de estas versiones durante los períodos de exposición especificados.

Un actor de amenazas comprometió la cadena de suministro de Trivy, publicando versiones maliciosas del binario/imagen `trivy`, `aquasecurity/trivy-action` y `aquasecurity/setup-trivy` de GitHub Actions. Los usuarios que descargaron o utilizaron estos componentes durante el período de exposición corren el riesgo de robo de credenciales y otras actividades maliciosas. Se requiere una acción inmediata para actualizar a versiones seguras y rotar los secretos potencialmente expuestos.

Este CVE tiene una puntuación CVSS de 9.5, lo que indica una gravedad crítica debido al potencial de compromiso total del sistema.

¿Qué es Github.com/aquasecurity/trivy?

Github.com/aquasecurity/trivy es un escáner de vulnerabilidades integral. Ayuda a los desarrolladores y a los equipos de seguridad a identificar vulnerabilidades en las dependencias de software, los paquetes del sistema operativo y las imágenes de contenedores. Trivy admite una amplia gama de ecosistemas y proporciona informes detallados sobre las vulnerabilidades detectadas, lo que lo convierte en una herramienta esencial para mantener la seguridad del software. Obtenga más información visitando buscar todos los CVE de github.com/aquasecurity/trivy.

CVE-2026-33634: Compromiso de la cadena de suministro de Trivy

CVSS9.5

Versiones afectadasEsta vulnerabilidad afecta a los usuarios que descargaron o utilizaron los binarios `trivy` versión v0.69.4, las imágenes de contenedor v0.69.4, v0.69.5 y v0.69.6, cualquier etiqueta anterior excepto 0.35.0 (0.0.1 – 0.34.2) para hacer referencia a `trivy-action`, el parámetro `version: latest` de la acción explícitamente (no el predeterminado) durante el período de exposición del binario trivy, el anclaje SHA a una confirmación anterior al 2025-04-09 y cualquier versión sin anclaje de `setup-trivy` durante el período de exposición.

CISA KEV

Gravedad crítica: es posible un compromiso total del sistema.

La puntuación EPSS del 20.84% indica una probabilidad significativa de explotación.

Esta vulnerabilidad aparece en el Catálogo de vulnerabilidades explotadas conocidas de CISA.

Un actor de amenazas obtuvo acceso no autorizado a la canalización de lanzamiento de Trivy y publicó versiones maliciosas del binario `trivy` y las imágenes de contenedor, así como las acciones de GitHub `aquasecurity/trivy-action` y `aquasecurity/setup-trivy`. El código malicioso inyectado en estos componentes fue diseñado para robar credenciales y otra información confidencial de los sistemas afectados.

Cómo solucionar CVE-2026-33634 en Github.com/aquasecurity/trivy

Parchear ahora

1.Actualice Trivy a una versión segura (v0.69.2, v0.69.3 para binarios; v0.35.0 para trivy-action; v0.2.6 para setup-trivy).
2.Rote todos los secretos potencialmente expuestos.
3.Audite las versiones de Trivy y las referencias de GitHub Action en sus flujos de trabajo.
4.Busque artefactos de exfiltración (por ejemplo, repositorios llamados `tpcp-docs`).
5.Ancle las acciones de GitHub a hashes SHA completos en lugar de utilizar etiquetas mutables.

Actualizar Trivy

go get -u github.com/aquasecurity/trivy@latest

Verificar con:

verify

# Descargar el binario y el paquete sigstore
curl -sLO "https://github.com/aquasecurity/trivy/releases/download/v0.69.2/trivy_0.69.2_Linux-64bit.tar.gz"
curl -sLO "https://github.com/aquasecurity/trivy/releases/download/v0.69.2/trivy_0.69.2_Linux-64bit.tar.gz.sigstore.json"

# Verificar la firma
$ cosign verify-blob \
  --certificate-identity-regexp 'https://github\.com/aquasecurity/' \
  --certificate-oidc-issuer 'https://token.actions.githubusercontent.com' \
  --bundle trivy_0.69.2_Linux-64bit.tar.gz.sigstore.json \
  trivy_0.69.2_Linux-64bit.tar.gz

Solución temporal: Anclar a hashes SHA de confirmación específicos y seguros para las acciones de GitHub puede evitar el uso de etiquetas comprometidas.

NextGuard marca automáticamente CVE-2026-33634 si github.com/aquasecurity/trivy aparece en cualquiera de sus proyectos supervisados; no se requiere búsqueda manual.

Manténgase a la vanguardia de las vulnerabilidades de go

Detecte y responda de forma proactiva a los ataques a la cadena de suministro mediante el uso de una solución de supervisión integral. NextGuard le ayuda a supervisar sus dependencias de go en busca de vulnerabilidades conocidas y actividades sospechosas.

Comparar planes

Preguntas frecuentes

El compromiso de la cadena de suministro de Trivy destaca la importancia de las medidas de seguridad proactivas y la supervisión de las dependencias. Manténgase alerta y asegúrese de que sus sistemas estén protegidos contra las amenazas emergentes. Puede ver todas las vulnerabilidades de go en nuestra plataforma.

Temas relacionados

Seguridad de la cadena de suministroAnálisis de vulnerabilidadesAcciones de GitHubRobo de credencialesGestión de dependencias