HIGHCVE-2026-35204CVSS 7.5

Helm にはプラグインメタデータバージョンにパストラバーサルが存在し、Helm プラグインディレクトリ外に任意のファイルを書き込める

Q: CVE-2026-35204 — パストレーバーサルはhelm.sh/helm/v4で何ですか？

CVE-2026-35204は、Helm v4におけるパストラバーサル脆弱性であり、悪意のあるプラグインのインストール/更新により、任意のファイルシステム場所にデータを書き込める可能性があります。

Q: CVE-2026-35204はhelm.sh/helm/v4で影響を受けますか？

はい、Helmのバージョン4.0.0から4.1.3を使用している場合は、この脆弱性の影響を受けます。

Q: CVE-2026-35204はhelm.sh/helm/v4でどのように修正しますか？

Helmをバージョン4.1.4以上にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2026-35204は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていません。

Q: CVE-2026-35204のhelm.sh/helm/v4の公式アドバイザリはどこで入手できますか？

公式アドバイザリは、Helmのリリースノートまたはセキュリティアナウンスメントで確認できます。

プラットフォーム

コンポーネント

helm.sh/helm/v4

修正版

4.0.1

4.1.4

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-35204は、Helm v4におけるパストラバーサル脆弱性です。この脆弱性により、悪意のあるHelmプラグインをインストールまたは更新すると、Helmがユーザーのファイルシステム上の任意の場所にデータを書き込もうと試みる可能性があります。影響を受けるバージョンは、Helm 4.0.0から4.1.3です。この問題はHelm 4.1.4で修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がHelmプラグインを悪用することで、ファイルシステム上の任意の場所にデータを書き込める可能性があります。これにより、ユーザーファイルやシステムファイルを上書きし、システムの整合性を損なうリスクがあります。攻撃者は、Helmプラグインのインストールまたは更新プロセスを悪用し、悪意のあるコードをシステムに注入する可能性があります。この脆弱性の影響範囲は、Helmを使用しているすべてのKubernetes環境に及ぶ可能性があります。

悪用の状況

この脆弱性は2026年4月10日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、Helmプラグインの脆弱性は攻撃者にとって魅力的な標的となる可能性があります。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations heavily reliant on Helm for managing Kubernetes deployments are at risk. This includes DevOps teams, platform engineers, and anyone responsible for maintaining Kubernetes clusters. Users who have installed plugins from untrusted sources are particularly vulnerable. Shared hosting environments where multiple users share a single Helm installation are also at increased risk.

検出手順翻訳中…

• linux / server: Monitor Helm plugin directories (e.g., /var/lib/helm/plugins) for unexpected files or modifications. Use ls -l and find commands to identify anomalies.

find /var/lib/helm/plugins -type f -mmin -60 -print

• go: Inspect Helm plugin code for suspicious file path manipulation. Look for functions like os.MkdirAll or os.Create used with user-controlled input. • generic web: Examine Helm logs for errors related to file writing or permission denied errors.

journalctl -u helm -f

攻撃タイムライン

2026-04-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントhelm.sh/helm/v4

ベンダーosv

影響範囲修正版

>= 4.0.0, < 4.1.4 – >= 4.0.0, < 4.1.44.0.1

4.0.04.1.4

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-04-01
公開日2026-04-10
更新日2026-04-13
EPSS 更新日2026-04-17

緩和策と回避策

この脆弱性への対応策として、Helmをバージョン4.1.4以上にアップデートすることを推奨します。アップデートできない場合は、Helmプラグインのインストール元を信頼できるソースに限定し、不審なプラグインのインストールを避けるようにしてください。また、WAFやIPSなどのセキュリティ対策を導入し、悪意のあるプラグインのインストールを検知・防御することも有効です。ファイルシステムのアクセス権限を適切に設定し、Helmが書き込める場所を制限することも、被害を軽減するのに役立ちます。

修正方法翻訳中…

Actualice Helm a la versión 4.1.4 o superior para mitigar esta vulnerabilidad.  Verifique que el archivo plugin.yaml de sus plugins no contenga la secuencia '/../' en el campo 'version:' para evitar la escritura de archivos arbitrarios.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35204 — パストレーバーサルはhelm.sh/helm/v4で何ですか？