HIGHCVE-2026-29064CVSS 8.2

Zarfのアーカイブ内のシンボリックリンクのターゲットは、github.com/zarf-dev/zarfにおいて宛先ディレクトリに対して検証されていません

Q: CVE-2026-29064 — シンボリックリンク脆弱性とはZarfでは何ですか？

CVE-2026-29064は、Zarfのアーカイブ処理において、シンボリックリンクのターゲット検証が不十分な脆弱性です。攻撃者はこの脆弱性を悪用して、任意のファイルを上書きする可能性があります。

Q: CVE-2026-29064 in Zarfの影響はありますか？

はい、Zarfのバージョン0.73.1より前のバージョンを使用している場合は影響があります。攻撃者は、この脆弱性を悪用して、システム上の任意のファイルを上書きする可能性があります。

Q: CVE-2026-29064 in Zarfを修正するにはどうすればよいですか？

Zarfをバージョン0.73.1にアップデートしてください。アップデートがすぐに適用できない場合は、アーカイブの処理を一時的に停止するか、信頼できるソースからのアーカイブのみを処理するように制限してください。

Q: CVE-2026-29064は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されたPoCは確認されていませんが、注意が必要です。

Q: CVE-2026-29064に関するZarfの公式アドバイザリはどこで入手できますか？

Zarfの公式アドバイザリは、github.com/zarf-dev/zarfのリポジトリのissueトラッカーで確認できます。

プラットフォーム

コンポーネント

github.com/zarf-dev/zarf

修正版

0.54.1

0.73.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-29064は、github.com/zarf-dev/zarfにおけるシンボリックリンクの脆弱性です。この脆弱性により、攻撃者はアーカイブ内のシンボリックリンクを悪用し、意図しないファイルの書き込みや上書きを実行する可能性があります。影響を受けるバージョンはZarf 0.73.1より前のバージョンです。バージョン0.73.1へのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がZarfのアーカイブ処理の過程で悪意のあるシンボリックリンクを挿入することで、システム上の任意のファイルの上書きを可能にする可能性があります。これにより、重要な設定ファイルが改ざんされたり、実行可能なファイルが置き換えられたりするリスクがあります。攻撃者は、Zarfの機能を悪用して、システム全体のセキュリティを侵害する可能性があります。特に、Zarfが特権で実行されている場合、影響はより深刻になります。この脆弱性の悪用により、機密情報の漏洩や、システムの完全な制御喪失につながる可能性があります。

悪用の状況

CVE-2026-29064は、2026年3月10日に公開されました。現時点では、この脆弱性を悪用する公開されたPoCは確認されていませんが、シンボリックリンクの脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVリストへの登録状況は不明です。この脆弱性の悪用は、Zarfを使用しているシステムに重大な影響を与える可能性があります。

リスク対象者翻訳中…

Organizations heavily reliant on Zarf for Kubernetes application deployment are at significant risk. This includes teams using Zarf in CI/CD pipelines, those deploying applications to production environments, and those with limited security controls around file integrity. Shared hosting environments utilizing Zarf are particularly vulnerable due to the potential for cross-tenant exploitation.

検出手順翻訳中…

• go / binary: Monitor for unusual file creation or modification within the Zarf deployment directory. Use find /path/to/zarf -type f -mmin -60 to identify recently modified files. • generic web: Inspect Zarf deployment archives for suspicious symlinks using tar -tvf archive.tar | grep '^l' to identify symbolic links. • linux / server: Use ls -l within the Zarf deployment directory to check for unexpected symlinks pointing outside the intended directory.

攻撃タイムライン

2026-03-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート4 件の脅威レポート

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントgithub.com/zarf-dev/zarf

ベンダーosv

影響範囲修正版

>= 0.54.0, < 0.73.1 – >= 0.54.0, < 0.73.10.54.1

0.54.00.73.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-03-03
公開日2026-03-10
更新日2026-03-23
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、Zarfをバージョン0.73.1にアップデートすることです。アップデートがすぐに適用できない場合は、アーカイブの処理を一時的に停止するか、信頼できるソースからのアーカイブのみを処理するように制限してください。また、Zarfが実行されている環境のアクセス制御を強化し、不要な権限を削除することも有効です。WAFやIDS/IPSなどのセキュリティ対策を導入し、悪意のあるシンボリックリンクの挿入を検知・防御することも検討してください。

修正方法

Zarfをバージョン0.73.1以降にアップデートしてください。このバージョンは、ファイルの展開におけるpath traversalの脆弱性を修正し、宛先ディレクトリ外へのシンボリックリンク作成を防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-29064 — シンボリックリンク脆弱性とはZarfでは何ですか？