Plateforme
go
Composant
github.com/chainguard-dev/kaniko
Corrigé dans
1.25.5
1.25.11
1.25.10
La vulnérabilité CVE-2026-28406 est une faille de traversal de chemin (Path Traversal) découverte dans github.com/chainguard-dev/kaniko. Cette faille permet à un attaquant d'écrire des fichiers en dehors des répertoires de destination prévus lors de l'extraction du contexte de construction. Elle affecte les versions de Kaniko antérieures à 1.25.10 et peut compromettre la sécurité des images Docker construites.
Un attaquant exploitant cette vulnérabilité peut potentiellement écrire des fichiers arbitraires sur le système hôte où Kaniko est en cours d'exécution. Cela pourrait permettre de compromettre le système, d'exécuter du code malveillant, ou de voler des informations sensibles. L'impact est significatif car Kaniko est souvent utilisé dans des pipelines CI/CD automatisés, ce qui pourrait permettre à un attaquant de compromettre l'ensemble du processus de construction d'images Docker. L'exploitation réussie pourrait mener à une exécution de code à distance (RCE) si l'attaquant peut contrôler le contenu des fichiers écrits.
La vulnérabilité a été rendue publique le 2026-03-10. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable. Il est probable que des preuves de concept (PoC) soient développées et rendues publiques dans un futur proche. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.
Organizations heavily reliant on Kaniko for automated container image builds, particularly those using it within CI/CD pipelines, are at significant risk. Shared hosting environments where multiple users build images using a shared Kaniko instance are also vulnerable, as a malicious build from one user could potentially impact other users' images or the host system itself. Legacy Kaniko deployments using older versions are particularly susceptible.
• go / kaniko: Inspect build scripts and Dockerfiles for unusual file paths or references to external directories. Use go vet to scan Kaniko source code for potential path traversal vulnerabilities.
• linux / server: Monitor build logs for unexpected file creation or modification in sensitive directories. Use auditd to track file access events within the Kaniko build environment.
auditctl -w /path/to/kaniko/build/directory -p wa -k kaniko_build• generic web: If Kaniko is integrated into a web application, monitor access logs for requests containing suspicious path traversal sequences in the build context parameters.
grep '..\/' /var/log/nginx/access.logdisclosure
Statut de l'Exploit
EPSS
0.23% (percentile 46%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Kaniko vers la version 1.25.10 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation peuvent être mises en place. Il est crucial de restreindre les accès au contexte de construction de Kaniko et de s'assurer que seuls les fichiers nécessaires sont présents. Envisagez également de mettre en œuvre des contrôles d'intégrité des fichiers pour détecter toute modification non autorisée. Une analyse statique du code source de Kaniko peut aider à identifier d'autres potentielles vulnérabilités.
Actualice kaniko a la versión 1.25.10 o superior. Esta versión corrige la vulnerabilidad de path traversal en la extracción del contexto de construcción, evitando la escritura de archivos fuera del directorio de destino.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28406 is a Path Traversal vulnerability in Chainguard Kaniko affecting versions before 1.25.10. It allows attackers to write files outside intended directories during image builds.
You are affected if you are using Kaniko versions prior to 1.25.10. Check your Kaniko version and upgrade immediately if vulnerable.
Upgrade to Kaniko version 1.25.10 or later. If immediate upgrade is not possible, implement stricter build context validation and consider sandboxing.
There is currently no evidence of active exploitation in the wild, and no public proof-of-concept code has been released.
Refer to the Chainguard security advisory for detailed information and updates: [https://github.com/chainguard-dev/kaniko/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory URL)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.