プラットフォーム
go
コンポーネント
github.com/chainguard-dev/kaniko
修正版
1.25.5
1.25.11
1.25.10
CVE-2026-28406は、Chainguard Kanikoにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はビルドコンテキストの抽出プロセスを操作し、意図しないディレクトリにファイルを書き込むことが可能になります。影響を受けるバージョンは特定されていませんが、バージョン1.25.10で修正されています。この脆弱性の影響は、コンテナイメージのビルドプロセス全体に及ぶ可能性があります。
このパス・トラバーサル脆弱性は、攻撃者がコンテナイメージのビルドプロセスを完全に制御できる可能性を示唆しています。攻撃者は、機密情報を盗み出したり、悪意のあるコードをコンテナイメージに挿入したりする可能性があります。これにより、コンテナ化されたアプリケーションのセキュリティが損なわれ、システム全体への影響が拡大する可能性があります。特に、CI/CDパイプラインにKanikoを使用している環境では、攻撃者がビルドプロセスを乗っ取り、悪意のあるイメージを本番環境にデプロイするリスクがあります。この脆弱性は、類似のファイルシステム操作の脆弱性と同様に、深刻なセキュリティインシデントを引き起こす可能性があります。
CVE-2026-28406は、2026年3月10日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。CISAのKEVリストへの登録状況は不明です。この脆弱性の悪用確率は、公開されているPoCの有無や、攻撃者による悪用試行の状況によって変動する可能性があります。
Organizations heavily reliant on Kaniko for automated container image builds, particularly those using it within CI/CD pipelines, are at significant risk. Shared hosting environments where multiple users build images using a shared Kaniko instance are also vulnerable, as a malicious build from one user could potentially impact other users' images or the host system itself. Legacy Kaniko deployments using older versions are particularly susceptible.
• go / kaniko: Inspect build scripts and Dockerfiles for unusual file paths or references to external directories. Use go vet to scan Kaniko source code for potential path traversal vulnerabilities.
• linux / server: Monitor build logs for unexpected file creation or modification in sensitive directories. Use auditd to track file access events within the Kaniko build environment.
auditctl -w /path/to/kaniko/build/directory -p wa -k kaniko_build• generic web: If Kaniko is integrated into a web application, monitor access logs for requests containing suspicious path traversal sequences in the build context parameters.
grep '..\/' /var/log/nginx/access.logdisclosure
エクスプロイト状況
EPSS
0.23% (46% パーセンタイル)
CISA SSVC
この脆弱性に対する最も効果的な対策は、Kanikoをバージョン1.25.10以降にアップデートすることです。アップデートがすぐに利用できない場合、ビルドコンテキストの入力検証を強化することで、攻撃者がパス・トラバーサル攻撃を実行するのを防ぐことができます。また、WAFやプロキシを使用して、悪意のあるリクエストをブロックすることも有効です。コンテナイメージのビルドプロセスを厳格に監視し、異常なファイルシステム操作を検出するためのログ監視ルールを実装することも重要です。アップデート後、ファイルシステムアクセス権限を検証し、意図しないファイルへの書き込みがないことを確認してください。
Actualice kaniko a la versión 1.25.10 o superior. Esta versión corrige la vulnerabilidad de path traversal en la extracción del contexto de construcción, evitando la escritura de archivos fuera del directorio de destino.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-28406は、Chainguard Kanikoのビルドコンテキスト抽出プロセスにおけるパス・トラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、意図しないディレクトリにファイルを書き込む可能性があります。
影響を受けるバージョンは特定されていませんが、Chainguard Kanikoを使用している場合は、脆弱性の影響を受ける可能性があります。バージョン1.25.10以降にアップデートすることを推奨します。
Kanikoをバージョン1.25.10以降にアップデートすることで、この脆弱性を修正できます。アップデートがすぐに利用できない場合は、ビルドコンテキストの入力検証を強化してください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。しかし、脆弱性が公開されているため、悪用される可能性はあります。
公式アドバイザリは、Chainguardのセキュリティアナウンスメントページで確認できます。詳細は、関連するドキュメントを参照してください。
CVSS ベクトル
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。