Plataforma
go
Componente
github.com/zarf-dev/zarf
Corregido en
0.54.1
0.73.1
CVE-2026-29064 describe una vulnerabilidad de enlace simbólico en Zarf, una herramienta de gestión de Kubernetes. Esta falla permite a un atacante manipular archivos en el sistema objetivo a través de la manipulación de archivos comprimidos. La vulnerabilidad afecta a versiones de Zarf anteriores a 0.73.1 y ha sido publicada el 10 de marzo de 2026. Se recomienda actualizar a la versión 0.73.1 para mitigar el riesgo.
La vulnerabilidad de enlace simbólico en Zarf permite a un atacante crear un enlace simbólico malicioso dentro de un archivo comprimido. Cuando Zarf extrae este archivo, el enlace simbólico puede apuntar a ubicaciones arbitrarias en el sistema de archivos, permitiendo al atacante sobrescribir archivos críticos o acceder a datos sensibles. Esto podría resultar en la ejecución remota de código, la pérdida de confidencialidad, integridad o disponibilidad del sistema. El impacto es particularmente grave en entornos donde Zarf se utiliza para desplegar o gestionar aplicaciones Kubernetes, ya que un atacante podría comprometer la infraestructura subyacente.
CVE-2026-29064 ha sido publicado públicamente el 10 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA ni la confirmación de explotación activa. La disponibilidad de un PoC público podría aumentar el riesgo de explotación, por lo que se recomienda monitorear las fuentes de información de seguridad para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations heavily reliant on Zarf for Kubernetes application deployment are at significant risk. This includes teams using Zarf in CI/CD pipelines, those deploying applications to production environments, and those with limited security controls around file integrity. Shared hosting environments utilizing Zarf are particularly vulnerable due to the potential for cross-tenant exploitation.
• go / binary: Monitor for unusual file creation or modification within the Zarf deployment directory. Use find /path/to/zarf -type f -mmin -60 to identify recently modified files.
• generic web: Inspect Zarf deployment archives for suspicious symlinks using tar -tvf archive.tar | grep '^l' to identify symbolic links.
• linux / server: Use ls -l within the Zarf deployment directory to check for unexpected symlinks pointing outside the intended directory.
disclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-29064 es actualizar Zarf a la versión 0.73.1 o posterior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta de las rutas de destino al extraer archivos comprimidos. Esto puede incluir el uso de listas blancas de directorios permitidos o la verificación de que la ruta de destino es relativa al directorio de extracción. Además, se debe revisar la configuración de Zarf para asegurar que los permisos de los archivos extraídos sean los más restrictivos posibles. Después de la actualización, confirme la corrección verificando que los archivos comprimidos no puedan crear enlaces simbólicos fuera del directorio de extracción esperado.
Actualice Zarf a la versión 0.73.1 o superior. Esta versión corrige la vulnerabilidad de path traversal en la extracción de archivos, evitando la creación de enlaces simbólicos fuera del directorio de destino.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-29064 is a high-severity vulnerability in Zarf affecting versions prior to 0.73.1. It allows attackers to manipulate symbolic links within archives, potentially leading to arbitrary code execution.
You are affected if you are using Zarf versions 0.73.0 or earlier. Upgrade to version 0.73.1 or later to resolve this vulnerability.
Upgrade Zarf to version 0.73.1 or later. This version includes the necessary validation checks to prevent the exploitation of symlink targets.
There are currently no confirmed reports of active exploitation, but the vulnerability's potential impact warrants immediate attention and remediation.
Refer to the official Zarf project repository and release notes for the latest information and advisory regarding CVE-2026-29064.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.