Plateforme
go
Composant
helm.sh/helm/v4
Corrigé dans
4.0.1
4.1.4
CVE-2026-35205 est une vulnérabilité de sécurité affectant le gestionnaire de paquets Helm. Cette faille permet l'installation de plugins sans fichier de provenance (.prov file) lorsque la vérification de signature est activée, compromettant l'intégrité des installations. La vulnérabilité concerne les versions de Helm comprises entre 4.0.0 (inclus) et 4.1.4 (exclus). Une correction est disponible dans la version 4.1.4.
La vulnérabilité CVE-2026-35205 dans Helm permet aux auteurs de plugins d'omettre les données de provenance (signature) des plugins. Cela affecte les versions de Helm >=4.0.0 et <=4.1.3. Normalement, Helm vérifie les signatures des plugins pour garantir leur authenticité et leur intégrité. En contournant cette vérification, un attaquant pourrait installer un plugin malveillant qui s'exécute avec les privilèges de l'utilisateur Helm. L'exécution de hooks au sein du plugin compromis pourrait entraîner l'exécution de code arbitraire sur le cluster Kubernetes, compromettant potentiellement la sécurité de l'ensemble de l'infrastructure.
Un attaquant pourrait exploiter cette vulnérabilité en créant un plugin malveillant sans un fichier .prov valide. L'installation de ce plugin sur un cluster Kubernetes utilisant des versions affectées de Helm permettrait à l'attaquant de contourner la vérification de la signature et d'exécuter du code arbitraire via les hooks du plugin. Ce scénario est particulièrement préoccupant dans les environnements où Helm est utilisé pour la gestion automatisée des applications, car un plugin malveillant pourrait se propager rapidement à travers plusieurs applications et services.
Kubernetes clusters using Helm versions 4.0.0 through 4.1.3 are at direct risk. Organizations relying on Helm for managing applications and configurations within their Kubernetes environments, particularly those with automated plugin installation processes, should prioritize patching. Shared Kubernetes hosting environments are also at increased risk as a compromised plugin could affect multiple tenants.
• linux / server:
find /var/lib/helm/plugins -name '*.so' -not -path '*/.prov' -print• linux / server:
journalctl -u helm -g "plugin installation"• generic web: Inspect Helm plugin repositories for unsigned or poorly signed plugins. Check for unusual plugin installations or modifications.
disclosure
patch
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
La principale mesure d'atténuation pour cette vulnérabilité est de mettre à niveau Helm vers la version 4.1.4 ou supérieure. Cette version corrige le problème en garantissant que la vérification de la provenance est effectuée correctement. En attendant, par mesure de précaution, désactivez l'installation automatique des plugins provenant de sources non fiables. De plus, examinez régulièrement les plugins installés dans votre cluster Kubernetes et assurez-vous qu'ils proviennent de sources fiables. La mise en œuvre de politiques de sécurité Kubernetes qui limitent les privilèges des plugins peut également aider à atténuer l'impact d'une exploitation potentielle.
Actualice Helm a la versión 4.1.4 o superior para evitar la instalación de plugins no firmados. La verificación de la procedencia de los plugins se ha reforzado en esta versión, mitigando el riesgo de instalar componentes maliciosos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un fichier .prov contient des informations de provenance, y compris la signature numérique d'un plugin Helm. Il sert à vérifier l'authenticité et l'intégrité du plugin.
Les hooks Helm sont des scripts qui s'exécutent à différents moments du cycle de vie d'une release Helm, tels que l'installation, la mise à niveau ou la suppression.
Exécutez la commande helm version dans votre terminal. Cela affichera la version de Helm installée.
Oui, plusieurs outils d'analyse de vulnérabilités peuvent analyser les plugins Helm, tels que Trivy et Anchore.
Désinstallez immédiatement le plugin suspect et examinez les journaux d'audit Kubernetes pour détecter toute activité inhabituelle.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.