प्लेटफ़ॉर्म
go
घटक
helm.sh/helm/v4
में ठीक किया गया
4.0.1
4.1.4
CVE-2026-35205 Helm में एक भेद्यता है, जहाँ संस्करण 4.0.0 से 4.1.3 तक, हस्ताक्षर सत्यापन की आवश्यकता होने पर बिना provenance (.prov file) वाले प्लगइन स्थापित हो सकते हैं। यह Kubernetes के लिए Helm चार्ट के पैकेज मैनेजर को प्रभावित करता है। इस समस्या को Helm के संस्करण 4.1.4 में ठीक कर दिया गया है।
Helm में CVE-2026-35205 प्लगइन लेखकों को प्लगइन से provenance (हस्ताक्षर) डेटा को छोड़ने की अनुमति देता है। यह Helm संस्करण >=4.0.0 और <=4.1.3 को प्रभावित करता है। सामान्य तौर पर, Helm अपनी प्रामाणिकता और अखंडता सुनिश्चित करने के लिए प्लगइन हस्ताक्षर को सत्यापित करता है। इस सत्यापन को बाईपास करके, एक हमलावर Helm उपयोगकर्ता की अनुमति से चलने वाला एक दुर्भावनापूर्ण प्लगइन स्थापित कर सकता है। समझौता किए गए प्लगइन के भीतर हुक का निष्पादन Kubernetes क्लस्टर पर मनमाना कोड निष्पादित कर सकता है, जिससे पूरे बुनियादी ढांचे की सुरक्षा खतरे में पड़ सकती है।
एक हमलावर इस भेद्यता का फायदा उठाकर एक वैध .prov फ़ाइल के बिना एक दुर्भावनापूर्ण प्लगइन बना सकता है। प्रभावित Helm संस्करणों का उपयोग करने वाले Kubernetes क्लस्टर पर इस प्लगइन को स्थापित करने से हमलावर हस्ताक्षर सत्यापन को बाईपास कर सकता है और प्लगइन के हुक के माध्यम से मनमाना कोड निष्पादित कर सकता है। यह परिदृश्य उन वातावरणों में विशेष रूप से चिंताजनक है जहां Helm का उपयोग स्वचालित एप्लिकेशन प्रबंधन के लिए किया जाता है, क्योंकि एक दुर्भावनापूर्ण प्लगइन कई एप्लिकेशन और सेवाओं में तेजी से फैल सकता है।
Kubernetes clusters using Helm versions 4.0.0 through 4.1.3 are at direct risk. Organizations relying on Helm for managing applications and configurations within their Kubernetes environments, particularly those with automated plugin installation processes, should prioritize patching. Shared Kubernetes hosting environments are also at increased risk as a compromised plugin could affect multiple tenants.
• linux / server:
find /var/lib/helm/plugins -name '*.so' -not -path '*/.prov' -print• linux / server:
journalctl -u helm -g "plugin installation"• generic web: Inspect Helm plugin repositories for unsigned or poorly signed plugins. Check for unusual plugin installations or modifications.
disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
इस भेद्यता के लिए प्राथमिक शमन Helm को संस्करण 4.1.4 या उच्चतर में अपग्रेड करना है। यह संस्करण provenance सत्यापन को सही ढंग से निष्पादित करके समस्या को ठीक करता है। इस बीच, एक सावधानी के रूप में, अविश्वसनीय स्रोतों से प्लगइन के स्वचालित स्थापना को अक्षम करें। इसके अतिरिक्त, अपने Kubernetes क्लस्टर में स्थापित प्लगइन की नियमित रूप से समीक्षा करें और सुनिश्चित करें कि वे विश्वसनीय स्रोतों से हैं। प्लगइन की अनुमति को सीमित करने वाली Kubernetes सुरक्षा नीतियों को लागू करना भी संभावित शोषण के प्रभाव को कम करने में मदद कर सकता है।
Actualice Helm a la versión 4.1.4 o superior para evitar la instalación de plugins no firmados. La verificación de la procedencia de los plugins se ha reforzado en esta versión, mitigando el riesgo de instalar componentes maliciosos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
.prov फ़ाइल में provenance जानकारी शामिल है, जिसमें Helm प्लगइन का डिजिटल हस्ताक्षर शामिल है। यह प्लगइन की प्रामाणिकता और अखंडता को सत्यापित करने के लिए उपयोग किया जाता है।
Helm हुक स्क्रिप्ट हैं जो Helm रिलीज़ लाइफसाइकल के विभिन्न चरणों में निष्पादित होते हैं, जैसे कि स्थापना, अपग्रेड या हटाना।
अपने टर्मिनल में कमांड helm version चलाएं। यह स्थापित Helm संस्करण प्रदर्शित करेगा।
हाँ, कई भेद्यता स्कैनिंग उपकरण हैं जो Helm प्लगइन्स का विश्लेषण कर सकते हैं, जैसे कि Trivy और Anchore।
संदिग्ध प्लगइन को तुरंत अनइंस्टॉल करें और किसी भी असामान्य गतिविधि का पता लगाने के लिए Kubernetes ऑडिट लॉग की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।