Plateforme
go
Composant
helm.sh/helm/v4
Corrigé dans
4.0.1
4.1.4
La vulnérabilité CVE-2026-35204 est une faille de traversal de chemin (Path Traversal) affectant Helm v4, un gestionnaire de paquets pour les Charts Kubernetes. L'installation ou la mise à jour d'un plugin malveillant peut entraîner l'écriture de fichiers à des emplacements arbitraires sur le système de fichiers de l'utilisateur. Cette vulnérabilité affecte les versions 4.0.0 et supérieures jusqu'à la version 4.1.3 et a été corrigée dans la version 4.1.4.
Un attaquant peut exploiter cette vulnérabilité en créant un plugin Helm malveillant. Lors de l'installation ou de la mise à jour de ce plugin, Helm tentera d'écrire le contenu du plugin à un emplacement arbitraire sur le système de fichiers de l'utilisateur. Cela peut permettre à l'attaquant de compromettre l'intégrité du système en écrasant des fichiers système ou des fichiers utilisateur critiques. L'impact peut aller de la corruption de données à la prise de contrôle complète du système, en fonction des permissions de l'utilisateur Helm et des fichiers écrasés. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la possibilité d'écrire des fichiers arbitraires représente un risque significatif.
La vulnérabilité CVE-2026-35204 a été publiée le 10 avril 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun PoC public n'est connu. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en l'absence de PoC et d'exploitation active.
Organizations heavily reliant on Helm for managing Kubernetes deployments are at risk. This includes DevOps teams, platform engineers, and anyone responsible for maintaining Kubernetes clusters. Users who have installed plugins from untrusted sources are particularly vulnerable. Shared hosting environments where multiple users share a single Helm installation are also at increased risk.
• linux / server: Monitor Helm plugin directories (e.g., /var/lib/helm/plugins) for unexpected files or modifications. Use ls -l and find commands to identify anomalies.
find /var/lib/helm/plugins -type f -mmin -60 -print• go: Inspect Helm plugin code for suspicious file path manipulation. Look for functions like os.MkdirAll or os.Create used with user-controlled input.
• generic web: Examine Helm logs for errors related to file writing or permission denied errors.
journalctl -u helm -fdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
La mitigation principale consiste à mettre à jour Helm vers la version 4.1.4 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement l'installation de plugins Helm provenant de sources non fiables. En tant que mesure de contournement, vous pouvez restreindre les permissions de l'utilisateur Helm pour limiter l'accès à des emplacements sensibles du système de fichiers. Il n'existe pas de règles WAF ou de signatures Sigma/YARA spécifiques à cette vulnérabilité, mais surveillez les tentatives d'écriture de fichiers dans des emplacements inhabituels par les processus Helm.
Actualice Helm a la versión 4.1.4 o superior para mitigar esta vulnerabilidad. Verifique que el archivo plugin.yaml de sus plugins no contenga la secuencia '/../' en el campo 'version:' para evitar la escritura de archivos arbitrarios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35204 is a Path Traversal vulnerability in Helm v4 allowing malicious plugins to write to arbitrary filesystem locations.
You are affected if you are running Helm versions 4.0.0 through 4.1.3. Upgrade to 4.1.4 or later to resolve the vulnerability.
Upgrade Helm to version 4.1.4 or later. If immediate upgrade is not possible, restrict filesystem access for the Helm process.
There is currently no evidence of active exploitation, but the potential exists due to the ease of crafting a malicious plugin.
Refer to the official Helm security advisory on the helm.sh website for detailed information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.