HIGHCVE-2026-35205CVSS 7.5

Helmのプラグイン検証が.provがない場合にオープンに失敗し、署名なしプラグインのインストールを許可

Q: CVE-2026-35205 とは何ですか？（helm.sh/helm/v4）

`.prov`ファイルには、Helmプラグインのデジタル署名を含むprovenance情報が含まれています。プラグインの真正性と整合性を検証するために使用されます。

Q: helm.sh/helm/v4 の CVE-2026-35205 による影響を受けていますか？

Helmフックは、Helmリリースライフサイクル内のさまざまな段階（インストール、アップグレード、削除など）で実行されるスクリプトです。

Q: helm.sh/helm/v4 の CVE-2026-35205 を修正するにはどうすればよいですか？

ターミナルで`helm version`コマンドを実行します。これにより、インストールされているHelmバージョンが表示されます。

Q: CVE-2026-35205 は積極的に悪用されていますか？

はい、TrivyやAnchoreなど、Helmプラグインを分析できる脆弱性スキャンツールがいくつかあります。

Q: CVE-2026-35205 に関する helm.sh/helm/v4 の公式アドバイザリはどこで確認できますか？

疑わしいプラグインを直ちにアンインストールし、Kubernetes監査ログで異常なアクティビティがないか確認してください。

プラットフォーム

コンポーネント

helm.sh/helm/v4

修正版

4.0.1

4.1.4

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Helm は Kubernetes 用の Charts パッケージマネージャーです。バージョン 4.0.0 から 4.1.3 までの Helm では、Provenance ファイル (.prov) がないプラグインが、署名検証が必要な場合でもインストールされてしまう脆弱性が存在します。これにより、悪意のあるプラグインが実行されるリスクがあります。影響を受けるバージョンは 4.0.0–>= 4.0.0, < 4.1.4 ですが、バージョン 4.1.4 でこの問題は修正されています。

影響と攻撃シナリオ

HelmのCVE-2026-35205は、プラグイン作成者がプラグインからprovenance（署名）データを省略することを可能にします。これは、Helmバージョン>=4.0.0および<=4.1.3に影響します。通常、Helmはプラグインの署名を検証して、その真正性と整合性を確保します。この検証を回避することにより、攻撃者はHelmユーザーの権限で実行される悪意のあるプラグインをインストールできます。侵害されたプラグイン内のフックの実行により、Kubernetesクラスタ上で任意のコードが実行され、インフラストラクチャ全体のセキュリティが損なわれる可能性があります。

悪用の状況

攻撃者は、有効な.provファイルのない悪意のあるプラグインを作成することで、この脆弱性を悪用できます。影響を受けるHelmバージョンを使用しているKubernetesクラスタにこのプラグインをインストールすると、攻撃者は署名検証を回避し、プラグインのフックを介して任意のコードを実行できます。このシナリオは、Helmがアプリケーションの自動管理に使用されている環境で特に懸念されます。なぜなら、悪意のあるプラグインは複数のアプリケーションやサービスに急速に広がる可能性があるからです。

リスク対象者翻訳中…

Kubernetes clusters using Helm versions 4.0.0 through 4.1.3 are at direct risk. Organizations relying on Helm for managing applications and configurations within their Kubernetes environments, particularly those with automated plugin installation processes, should prioritize patching. Shared Kubernetes hosting environments are also at increased risk as a compromised plugin could affect multiple tenants.

検出手順翻訳中…

• linux / server:

find /var/lib/helm/plugins -name '*.so' -not -path '*/.prov' -print

• linux / server:

journalctl -u helm -g "plugin installation"

• generic web: Inspect Helm plugin repositories for unsigned or poorly signed plugins. Check for unusual plugin installations or modifications.

攻撃タイムライン

2026-04-10Disclosure
disclosure
2026-04-10Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.02% (5% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントhelm.sh/helm/v4

ベンダーosv

影響範囲修正版

>= 4.0.0, < 4.1.4 – >= 4.0.0, < 4.1.44.0.1

4.0.04.1.4

弱点分類 (CWE)

CWE-636

タイムライン

予約済み2026-04-01
公開日2026-04-10
更新日2026-04-13
EPSS 更新日2026-04-17

緩和策と回避策

この脆弱性の主な軽減策は、Helmをバージョン4.1.4以降にアップグレードすることです。このバージョンは、provenance検証が正しく実行されるようにすることで問題を修正します。その間、予防措置として、信頼できないソースからのプラグインの自動インストールを無効にします。さらに、Kubernetesクラスタにインストールされているプラグインを定期的に確認し、信頼できるソースからのものであることを確認してください。プラグインの権限を制限するKubernetesセキュリティポリシーを実装することも、潜在的な悪用の影響を軽減するのに役立ちます。

修正方法翻訳中…

Actualice Helm a la versión 4.1.4 o superior para evitar la instalación de plugins no firmados. La verificación de la procedencia de los plugins se ha reforzado en esta versión, mitigando el riesgo de instalar componentes maliciosos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35205 とは何ですか？（helm.sh/helm/v4）

.provファイルには、Helmプラグインのデジタル署名を含むprovenance情報が含まれています。プラグインの真正性と整合性を検証するために使用されます。

helm.sh/helm/v4 の CVE-2026-35205 による影響を受けていますか？