Plataforma
go
Componente
github.com/tektoncd/pipeline
Corregido en
1.0.1
1.1.1
1.4.1
1.7.1
1.10.1
1.0.1
1.0.1
1.0.1
1.0.1
1.0.1
La vulnerabilidad CVE-2026-33211 es un fallo de Path Traversal descubierto en el componente github.com/tektoncd/pipeline de Tekton Pipelines. Esta vulnerabilidad permite a un atacante con permisos para crear ResolutionRequests leer archivos arbitrarios del sistema de archivos del pod del resolver git, comprometiendo potencialmente tokens de ServiceAccount. La vulnerabilidad afecta a versiones anteriores a 1.0.1 y se ha solucionado en la versión 1.0.1.
El impacto de esta vulnerabilidad es significativo. Un atacante que explote esta falla puede leer archivos sensibles del sistema de archivos del pod del resolver git, incluyendo tokens de ServiceAccount. Estos tokens pueden ser utilizados para obtener acceso a otros recursos dentro del clúster de Kubernetes, permitiendo el movimiento lateral y la posible toma de control del entorno. La capacidad de leer archivos arbitrarios también podría revelar información confidencial almacenada en el sistema de archivos, como contraseñas, claves API u otros datos sensibles. La naturaleza base64-encoded de los datos extraídos podría complicar la detección inicial, pero no impide la explotación una vez descifrados.
Esta vulnerabilidad fue publicada el 2026-03-18. No se ha añadido a KEV a la fecha, pero la severidad CRÍTICA y la posibilidad de obtener tokens de ServiceAccount sugieren un riesgo medio-alto. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de Path Traversal hace que la explotación sea relativamente sencilla una vez que se comprende la vulnerabilidad. Se recomienda monitorear activamente los sistemas Tekton Pipelines para detectar cualquier actividad sospechosa.
Organizations utilizing Tekton Pipelines for CI/CD workflows, particularly those with complex permission structures granting tenants the ability to create ResolutionRequests, are at risk. Shared Kubernetes clusters where multiple teams or projects share resources are also particularly vulnerable, as a compromised tenant could potentially impact other workloads.
• linux / server:
journalctl -u tekton-git-resolver -g 'pathInRepo' | grep -i 'file content'• linux / server:
ps aux | grep -i 'github.com/tektoncd/pipeline/pkg/resolution/resolver/git/repository.go'• generic web:
curl -I 'http://<tekton-resolver-url>/resolutionrequest?pathInRepo=/../../../../etc/passwd' # Check for 200 OK response indicating file accessdisclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33211 es actualizar Tekton Pipelines a la versión 1.0.1 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos para limitar los permisos de los usuarios que pueden crear ResolutionRequests. Esto puede incluir la restricción de la creación de TaskRuns y PipelineRuns que utilicen el resolver git. Además, se debe revisar la configuración del resolver git para asegurar que el directorio de clonación del repositorio esté correctamente aislado y protegido. Verifique la actualización aplicando kubectl apply -f <manifest.yaml> y confirmando la versión con tekton-pipelines-controller --version.
Actualice Tekton Pipelines a las versiones 1.0.1, 1.3.3, 1.6.1, 1.9.2 o 1.10.2 o superior. Estas versiones contienen una solución para la vulnerabilidad de recorrido de ruta en el resolvedor git.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33211 is a critical vulnerability in Tekton Pipelines allowing attackers to read arbitrary files via the pathInRepo parameter, potentially exposing sensitive data like ServiceAccount tokens.
You are affected if you are using Tekton Pipelines versions prior to 1.0.1 and have tenants with permission to create ResolutionRequests.
Upgrade Tekton Pipelines to version 1.0.1 or later to address the vulnerability. Restrict tenant permissions as an interim measure.
While no public exploits are currently known, the vulnerability's ease of exploitation makes it a high-priority concern.
Refer to the official Tekton Pipelines security advisory for detailed information and updates: [https://github.com/tektoncd/pipeline/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory link)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.