Plateforme
go
Composant
github.com/tektoncd/pipeline
Corrigé dans
1.0.1
1.1.1
1.4.1
1.7.1
1.10.1
1.0.1
1.0.1
1.0.1
1.0.1
1.0.1
Une vulnérabilité de traversée de chemin a été découverte dans Tekton Pipelines, affectant la capacité à contrôler l'accès aux fichiers. Cette faille permet à un locataire disposant des permissions nécessaires de lire des fichiers arbitraires sur le système de fichiers du pod du résolveur Git, compromettant potentiellement des informations sensibles. Les versions antérieures à 1.0.1 sont concernées. Une correction a été publiée et il est recommandé de mettre à jour.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter la traversée de chemin pour lire des fichiers sensibles situés sur le système de fichiers du pod du résolveur Git. Plus grave encore, il peut accéder aux tokens de ServiceAccount, ce qui lui permettrait de se déplacer latéralement au sein du cluster Kubernetes et d'exécuter des actions en tant que ce compte de service. La divulgation de ces tokens pourrait permettre un accès non autorisé à d'autres ressources et services au sein de l'environnement Tekton Pipelines. Cette vulnérabilité présente un risque élevé de compromission de la sécurité et de violation de données.
Cette vulnérabilité a été rendue publique le 2026-03-18. Il n'y a pas d'indication d'exploitation active à ce jour, mais la sévérité critique de la vulnérabilité et la possibilité d'obtenir des tokens de ServiceAccount suggèrent qu'elle pourrait être ciblée par des attaquants. Il est conseillé de surveiller les sources d'informations sur les vulnérabilités et les exploits pour détecter toute activité suspecte.
Organizations utilizing Tekton Pipelines for CI/CD workflows, particularly those with complex permission structures granting tenants the ability to create ResolutionRequests, are at risk. Shared Kubernetes clusters where multiple teams or projects share resources are also particularly vulnerable, as a compromised tenant could potentially impact other workloads.
• linux / server:
journalctl -u tekton-git-resolver -g 'pathInRepo' | grep -i 'file content'• linux / server:
ps aux | grep -i 'github.com/tektoncd/pipeline/pkg/resolution/resolver/git/repository.go'• generic web:
curl -I 'http://<tekton-resolver-url>/resolutionrequest?pathInRepo=/../../../../etc/passwd' # Check for 200 OK response indicating file accessdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Tekton Pipelines vers la version 1.0.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de restreindre les permissions des locataires pour limiter leur capacité à créer des ResolutionRequests. Il est également recommandé de surveiller attentivement les logs du résolveur Git pour détecter toute activité suspecte, notamment des tentatives d'accès à des fichiers non autorisés. La configuration d'un système de détection d'intrusion (IDS) peut aider à identifier et à bloquer les attaques potentielles.
Mettez à jour Tekton Pipelines aux versions 1.0.1, 1.3.3, 1.6.1, 1.9.2 ou 1.10.2 ou supérieure. Ces versions contiennent une correction pour la vulnérabilité de dépassement de chemin dans le résolveur git.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33211 is a critical vulnerability in Tekton Pipelines allowing attackers to read arbitrary files via the pathInRepo parameter, potentially exposing sensitive data like ServiceAccount tokens.
You are affected if you are using Tekton Pipelines versions prior to 1.0.1 and have tenants with permission to create ResolutionRequests.
Upgrade Tekton Pipelines to version 1.0.1 or later to address the vulnerability. Restrict tenant permissions as an interim measure.
While no public exploits are currently known, the vulnerability's ease of exploitation makes it a high-priority concern.
Refer to the official Tekton Pipelines security advisory for detailed information and updates: [https://github.com/tektoncd/pipeline/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory link)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.