CRITICALCVE-2026-33211CVSS 9.6

Tekton Pipelines git リゾルバーにおけるパストラバーサルにより、リゾルバーポッドから任意のファイルを読み取れる

Q: CVE-2026-33211 — パストラバーサルはTekton Pipelinesで何ですか？

CVE-2026-33211は、Tekton Pipelinesのgitリゾルバーにおけるパストラバーサル脆弱性です。攻撃者は`pathInRepo`パラメータを悪用して、リポジトリ内の任意のファイルを読み取ることができます。

Q: CVE-2026-33211はTekton Pipelinesで影響を受けますか？

はい、Tekton Pipelinesのバージョン1.0.0および1.0.1が影響を受けます。1.0.1にアップデートすることで脆弱性が修正されます。

Q: CVE-2026-33211はTekton Pipelinesでどのように修正しますか？

Tekton Pipelinesをバージョン1.0.1にアップデートしてください。アップデートが困難な場合は、ネットワークポリシーや入力検証などの緩和策を検討してください。

Q: CVE-2026-33211の公式Tekton Pipelinesのアドバイザリはどこで入手できますか？

公式のアドバイザリは、Tekton PipelinesのリリースノートまたはGitHubリポジトリで確認できます。

プラットフォーム

コンポーネント

github.com/tektoncd/pipeline

修正版

1.0.1

1.1.1

1.4.1

1.7.1

1.10.1

1.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Tekton Pipelinesのgitリゾルバーにパストラバーサル脆弱性が存在します。この脆弱性を悪用されると、攻撃者はリポジトリ内の任意のファイルを読み取ることが可能となり、ServiceAccountトークンなどの機密情報が漏洩するリスクがあります。影響を受けるバージョンは1.0.0および1.0.1です。現在、1.0.1へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、Tekton Pipelinesを使用している環境において、権限昇格攻撃や機密情報の窃取につながる可能性があります。攻撃者は、pathInRepoパラメータを悪用し、リゾルバーポッドのファイルシステムから任意のファイルを読み取ることができます。特に、ServiceAccountトークンが漏洩した場合、攻撃者はそのトークンを使用してKubernetesクラスタ内の他のリソースにアクセスし、さらなる攻撃を実行する可能性があります。この脆弱性は、類似のファイルアクセス脆弱性と同様に、広範囲な影響を及ぼす可能性があります。

悪用の状況

この脆弱性は、2026年3月18日に公開されました。現時点では、公開されているPoCは確認されていませんが、パストラバーサル脆弱性であるため、悪用コードが公開される可能性はあります。CISA KEVへの登録状況は不明ですが、CVSSスコアがCRITICALであるため、注意が必要です。

リスク対象者翻訳中…

Organizations utilizing Tekton Pipelines for CI/CD workflows, particularly those with complex permission structures granting tenants the ability to create ResolutionRequests, are at risk. Shared Kubernetes clusters where multiple teams or projects share resources are also particularly vulnerable, as a compromised tenant could potentially impact other workloads.

検出手順翻訳中…

• linux / server:

journalctl -u tekton-git-resolver -g 'pathInRepo' | grep -i 'file content'

• linux / server:

ps aux | grep -i 'github.com/tektoncd/pipeline/pkg/resolution/resolver/git/repository.go'

• generic web:

curl -I 'http://<tekton-resolver-url>/resolutionrequest?pathInRepo=/../../../../etc/passwd' # Check for 200 OK response indicating file access

攻撃タイムライン

2026-03-18Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (7% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントgithub.com/tektoncd/pipeline

ベンダーosv

影響範囲修正版

>= 1.0.0, < 1.0.1 – >= 1.0.0, < 1.0.11.0.1

>= 1.1.0, < 1.3.3 – >= 1.1.0, < 1.3.31.1.1

>= 1.4.0, < 1.6.1 – >= 1.4.0, < 1.6.11.4.1

>= 1.7.0, < 1.9.2 – >= 1.7.0, < 1.9.21.7.1

>= 1.10.0, < 1.10.2 – >= 1.10.0, < 1.10.21.10.1

1.0.01.0.1

1.1.01.0.1

1.4.01.0.1

1.7.0

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-03-17
公開日2026-03-18
更新日2026-03-25
EPSS 更新日2026-03-31

緩和策と回避策

この脆弱性への対応として、速やかにTekton Pipelinesをバージョン1.0.1にアップデートすることを推奨します。アップデートが困難な場合は、gitリゾルバーへのアクセスを制限するネットワークポリシーを実装するか、pathInRepoパラメータの入力を厳密に検証するカスタムロジックを導入することを検討してください。また、ServiceAccountトークンのローテーションを定期的に実施し、漏洩した場合の影響を最小限に抑えるようにしてください。アップデート後、resolutionrequest.status.dataに予期しないファイルコンテンツが含まれていないか確認することで、修正が正しく適用されていることを検証できます。

修正方法

Tekton Pipelines をバージョン 1.0.1, 1.3.3, 1.6.1, 1.9.2 または 1.10.2 以降にアップデートしてください。これらのバージョンには、git リゾルバーにおけるパストラバーザル脆弱性に対する修正が含まれています。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33211 — パストラバーサルはTekton Pipelinesで何ですか？

CVE-2026-33211は、Tekton Pipelinesのgitリゾルバーにおけるパストラバーサル脆弱性です。攻撃者はpathInRepoパラメータを悪用して、リポジトリ内の任意のファイルを読み取ることができます。

CVE-2026-33211はTekton Pipelinesで影響を受けますか？