Plataforma
go
Componente
zarf
Corregido en
0.23.1
0.74.2
La vulnerabilidad CVE-2026-40090 es un fallo de Path Traversal descubierto en Zarf, una herramienta para gestionar Kubernetes. Este fallo permite a un atacante leer archivos arbitrarios en el sistema, comprometiendo la confidencialidad de la información. Afecta a las versiones de Zarf desde la 0.23.0 hasta la 0.74.1, inclusive. La vulnerabilidad ha sido corregida en la versión 0.74.2.
El fallo de Path Traversal en Zarf se manifiesta al utilizar los comandos zarf package inspect sbom o zarf package inspect documentation con paquetes no confiables. El atacante puede manipular el campo Metadata.Name dentro del paquete, que es utilizado para construir la ruta del archivo de salida. Aunque este campo está validado con una expresión regular, la validación es insuficiente para prevenir la inyección de caracteres que permitan acceder a archivos fuera del directorio esperado. Un atacante podría, por ejemplo, leer archivos de configuración sensibles, claves API o incluso código fuente del sistema. La explotación exitosa de esta vulnerabilidad podría resultar en la divulgación de información confidencial y la posible toma de control del sistema.
La vulnerabilidad CVE-2026-40090 fue publicada el 2026-04-14. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos. Sin embargo, la naturaleza de Path Traversal hace que sea relativamente fácil de explotar, y la disponibilidad de la herramienta Zarf en entornos de desarrollo y producción aumenta el riesgo de que sea atacada. Se recomienda monitorear activamente la situación y aplicar las mitigaciones recomendadas lo antes posible.
Developers and DevOps engineers who utilize Zarf for package management and inspection are at risk. Specifically, those who routinely inspect packages from untrusted sources or those who have not implemented robust package signing policies are particularly vulnerable. Shared hosting environments where multiple users share the same Zarf installation could also be affected.
• linux / server:
find / -type f -name '*Metadata.Name*' -print• go / supply-chain: Inspect Go module dependencies for suspicious packages or versions. • generic web: Monitor Zarf logs for unusual file creation paths during package inspection. Look for patterns that deviate from expected behavior.
disclosure
Estado del Exploit
EPSS
0.05% (14% percentil)
CISA SSVC
Vector CVSS
La solución principal para mitigar CVE-2026-40090 es actualizar Zarf a la versión 0.74.2 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda evitar la inspección de paquetes no firmados, ya que esta es la principal vía de ataque. Como medida adicional, se puede implementar un firewall de aplicaciones web (WAF) para filtrar solicitudes maliciosas que intenten explotar esta vulnerabilidad. Monitorear los logs del sistema en busca de patrones sospechosos, como accesos a archivos inesperados, también puede ayudar a detectar un ataque en curso. Después de la actualización, verificar la correcta funcionalidad de los comandos zarf package inspect con paquetes confiables.
Actualice Zarf a la versión 0.74.2 o superior para mitigar la vulnerabilidad de escritura de archivos arbitrarios. Esta versión corrige el problema validando adecuadamente la entrada del usuario y evitando la manipulación de la ruta del archivo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-40090 is a Path Traversal vulnerability in Zarf affecting versions 0.23.0 through 0.74.1. It allows attackers to read arbitrary files by crafting malicious packages.
You are affected if you are using Zarf versions 0.23.0 to 0.74.1. Upgrade to version 0.74.2 or later to resolve the issue.
Upgrade Zarf to version 0.74.2 or later. As a temporary workaround, avoid inspecting unsigned packages.
There are currently no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants caution.
Refer to the Zarf project's repository and release notes for the official advisory and details on the fix: [https://github.com/zarf-dev/zarf](https://github.com/zarf-dev/zarf)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.