Plateforme
go
Composant
github.com/zarf-dev/zarf
Corrigé dans
0.54.1
0.73.1
La vulnérabilité CVE-2026-29064 affecte Zarf, un outil de développement Kubernetes. Elle réside dans la validation insuffisante des liens symboliques cibles dans les archives, permettant à un attaquant de manipuler des fichiers. Cette faille est classée comme de haute sévérité (CVSS 8.2) et impacte les versions de Zarf antérieures à 0.73.1. Une mise à jour vers la version 0.73.1 est disponible pour corriger le problème.
Cette vulnérabilité permet à un attaquant d'injecter des liens symboliques malveillants dans des archives traitées par Zarf. En manipulant les liens symboliques, l'attaquant peut potentiellement accéder à des fichiers sensibles en dehors du répertoire prévu, modifier des fichiers système ou exécuter du code arbitraire. L'impact peut être significatif, allant de la compromission de données confidentielles à la prise de contrôle complète du système. Bien qu'il n'y ait pas d'exploitation publique connue à ce jour, la nature de la vulnérabilité et sa sévérité élevée la rendent attrayante pour les acteurs malveillants.
La vulnérabilité CVE-2026-29064 a été divulguée le 2026-03-10. Il n'y a pas d'indication d'exploitation active à ce jour, ni de présence sur le KEV de CISA. La probabilité d'exploitation est considérée comme moyenne en raison de la sévérité de la vulnérabilité et de la complexité potentielle de son exploitation.
Organizations heavily reliant on Zarf for Kubernetes application deployment are at significant risk. This includes teams using Zarf in CI/CD pipelines, those deploying applications to production environments, and those with limited security controls around file integrity. Shared hosting environments utilizing Zarf are particularly vulnerable due to the potential for cross-tenant exploitation.
• go / binary: Monitor for unusual file creation or modification within the Zarf deployment directory. Use find /path/to/zarf -type f -mmin -60 to identify recently modified files.
• generic web: Inspect Zarf deployment archives for suspicious symlinks using tar -tvf archive.tar | grep '^l' to identify symbolic links.
• linux / server: Use ls -l within the Zarf deployment directory to check for unexpected symlinks pointing outside the intended directory.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Zarf vers la version 0.73.1 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès aux archives traitées par Zarf, en limitant les utilisateurs autorisés à les manipuler. Il est également recommandé de surveiller les journaux système pour détecter toute activité suspecte liée à la manipulation de fichiers ou à la création de liens symboliques inattendus. En attendant la mise à jour, une analyse approfondie des archives avant leur traitement par Zarf peut aider à identifier et à bloquer les liens symboliques malveillants.
Actualice Zarf a la versión 0.73.1 o superior. Esta versión corrige la vulnerabilidad de path traversal en la extracción de archivos, evitando la creación de enlaces simbólicos fuera del directorio de destino.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-29064 is a high-severity vulnerability in Zarf affecting versions prior to 0.73.1. It allows attackers to manipulate symbolic links within archives, potentially leading to arbitrary code execution.
You are affected if you are using Zarf versions 0.73.0 or earlier. Upgrade to version 0.73.1 or later to resolve this vulnerability.
Upgrade Zarf to version 0.73.1 or later. This version includes the necessary validation checks to prevent the exploitation of symlink targets.
There are currently no confirmed reports of active exploitation, but the vulnerability's potential impact warrants immediate attention and remediation.
Refer to the official Zarf project repository and release notes for the latest information and advisory regarding CVE-2026-29064.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.