Zarf में अभिलेखागार में सिम्लिंक लक्ष्य गंतव्य निर्देशिका के विरुद्ध मान्य नहीं हैं github.com/zarf-dev/zarf में

यह भेद्यता हमलावरों को Zarf इंस्टॉलेशन निर्देशिका के बाहर मनमाने फ़ाइलें लिखने की अनुमति देती है। इसका मतलब है कि वे महत्वपूर्ण सिस्टम फ़ाइलों को ओवरराइट कर सकते हैं, दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं, या सिस्टम पर नियंत्रण हासिल कर सकते हैं। इस भेद्यता का उपयोग करके, हमलावर संवेदनशील डेटा तक पहुँच प्राप्त कर सकते हैं या सिस्टम को पूरी तरह से निष्क्रिय कर सकते हैं। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि इसका शोषण अपेक्षाकृत आसान है और इसके गंभीर परिणाम हो सकते हैं।

Organizations heavily reliant on Zarf for Kubernetes application deployment are at significant risk. This includes teams using Zarf in CI/CD pipelines, those deploying applications to production environments, and those with limited security controls around file integrity. Shared hosting environments utilizing Zarf are particularly vulnerable due to the potential for cross-tenant exploitation.

• go / binary: Monitor for unusual file creation or modification within the Zarf deployment directory. Use find /path/to/zarf -type f -mmin -60 to identify recently modified files. • generic web: Inspect Zarf deployment archives for suspicious symlinks using tar -tvf archive.tar | grep '^l' to identify symbolic links. • linux / server: Use ls -l within the Zarf deployment directory to check for unexpected symlinks pointing outside the intended directory.

1. 2026-03-10Disclosure

   disclosure

1. आरक्षित2026-03-03
2. प्रकाशित2026-03-10
3. संशोधित2026-03-23
4. EPSS अद्यतन2026-03-23

CVE-2026-29064 को कम करने के लिए, Zarf को संस्करण 0.73.1 या बाद के संस्करण में तुरंत अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, Zarf इंस्टॉलेशन निर्देशिका के बाहर सिंबॉलिक लिंक बनाने से बचें। फ़ायरवॉल नियमों को कॉन्फ़िगर करके Zarf प्रक्रिया तक अनधिकृत पहुँच को सीमित करने पर भी विचार करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, Zarf प्रक्रिया की जाँच करें और किसी भी असामान्य गतिविधि की निगरानी करें।