Plataforma
go
Componente
github.com/chainguard-dev/kaniko
Corregido en
1.25.5
1.25.11
1.25.10
CVE-2026-28406 describe una vulnerabilidad de Path Traversal en Kaniko, una herramienta de construcción de imágenes de contenedor desarrollada por Chainguard. Esta vulnerabilidad permite a un atacante escribir archivos fuera del directorio de destino previsto durante el proceso de extracción del contexto de construcción. Las versiones afectadas son aquellas anteriores a 1.25.10. Se recomienda actualizar a la versión 1.25.10 para mitigar el riesgo.
La vulnerabilidad de Path Traversal en Kaniko permite a un atacante, con acceso al proceso de construcción, manipular el sistema de archivos del host. Esto podría resultar en la escritura de archivos arbitrarios en ubicaciones no autorizadas, comprometiendo potencialmente la confidencialidad, integridad y disponibilidad del sistema. Un atacante podría, por ejemplo, sobrescribir archivos de configuración críticos, inyectar código malicioso en el sistema de archivos o incluso obtener acceso al sistema subyacente. La severidad de este impacto depende del contexto de despliegue de Kaniko y los permisos asignados al proceso de construcción.
CVE-2026-28406 fue publicado el 2026-03-10. No se ha reportado explotación activa en entornos reales a la fecha. La probabilidad de explotación se considera moderada, dado que la vulnerabilidad requiere acceso al proceso de construcción de Kaniko. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations heavily reliant on Kaniko for automated container image builds, particularly those using it within CI/CD pipelines, are at significant risk. Shared hosting environments where multiple users build images using a shared Kaniko instance are also vulnerable, as a malicious build from one user could potentially impact other users' images or the host system itself. Legacy Kaniko deployments using older versions are particularly susceptible.
• go / kaniko: Inspect build scripts and Dockerfiles for unusual file paths or references to external directories. Use go vet to scan Kaniko source code for potential path traversal vulnerabilities.
• linux / server: Monitor build logs for unexpected file creation or modification in sensitive directories. Use auditd to track file access events within the Kaniko build environment.
auditctl -w /path/to/kaniko/build/directory -p wa -k kaniko_build• generic web: If Kaniko is integrated into a web application, monitor access logs for requests containing suspicious path traversal sequences in the build context parameters.
grep '..\/' /var/log/nginx/access.logdisclosure
Estado del Exploit
EPSS
0.23% (46% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-28406 es actualizar Kaniko a la versión 1.25.10 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos al directorio de contexto de construcción para limitar el impacto potencial de la vulnerabilidad. Esto podría incluir la configuración de permisos de solo lectura para el directorio de contexto o el uso de un sistema de archivos con capacidades de acceso restringido. Además, se recomienda revisar y endurecer los procesos de construcción de imágenes de contenedor para minimizar la superficie de ataque.
Actualice kaniko a la versión 1.25.10 o superior. Esta versión corrige la vulnerabilidad de path traversal en la extracción del contexto de construcción, evitando la escritura de archivos fuera del directorio de destino.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28406 is a Path Traversal vulnerability in Chainguard Kaniko affecting versions before 1.25.10. It allows attackers to write files outside intended directories during image builds.
You are affected if you are using Kaniko versions prior to 1.25.10. Check your Kaniko version and upgrade immediately if vulnerable.
Upgrade to Kaniko version 1.25.10 or later. If immediate upgrade is not possible, implement stricter build context validation and consider sandboxing.
There is currently no evidence of active exploitation in the wild, and no public proof-of-concept code has been released.
Refer to the Chainguard security advisory for detailed information and updates: [https://github.com/chainguard-dev/kaniko/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory URL)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.