Platform
go
Component
github.com/chainguard-dev/kaniko
Opgelost in
1.25.5
1.25.11
1.25.10
CVE-2026-28406 beschrijft een Path Traversal kwetsbaarheid in Chainguard Kaniko, een tool voor het bouwen van container images. Deze kwetsbaarheid stelt aanvallers in staat om bestanden buiten de beoogde doelmappen te schrijven binnen de build context. De kwetsbaarheid treedt op bij het extraheren van de build context. Versies van Kaniko vóór 1.25.10 zijn kwetsbaar. Een upgrade naar versie 1.25.10 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang en wijziging van bestanden op het systeem waarop Kaniko draait. Een aanvaller kan bijvoorbeeld gevoelige configuratiebestanden overschrijven, malware injecteren of de integriteit van de container image aantasten. De impact kan aanzienlijk zijn, vooral in omgevingen waar Kaniko wordt gebruikt voor het bouwen van container images die vervolgens worden ingezet in productie. Dit kan leiden tot compromittering van de hele applicatie en de onderliggende infrastructuur. De mogelijkheid om bestanden buiten de build context te schrijven, opent de deur naar een breed scala aan aanvallen, vergelijkbaar met de risico's die geassocieerd worden met traditionele Path Traversal kwetsbaarheden.
Op dit moment (2026-03-10) is er geen publieke exploitatie van CVE-2026-28406 bekend. De kwetsbaarheid is recentelijk gepubliceerd en is nog niet opgenomen in de CISA KEV catalogus. Er zijn geen publieke Proof-of-Concept (PoC) exploits beschikbaar. De kans op actieve exploitatie is op dit moment laag, maar het is belangrijk om de kwetsbaarheid te patchen om toekomstige risico's te minimaliseren.
Organizations heavily reliant on Kaniko for automated container image builds, particularly those using it within CI/CD pipelines, are at significant risk. Shared hosting environments where multiple users build images using a shared Kaniko instance are also vulnerable, as a malicious build from one user could potentially impact other users' images or the host system itself. Legacy Kaniko deployments using older versions are particularly susceptible.
• go / kaniko: Inspect build scripts and Dockerfiles for unusual file paths or references to external directories. Use go vet to scan Kaniko source code for potential path traversal vulnerabilities.
• linux / server: Monitor build logs for unexpected file creation or modification in sensitive directories. Use auditd to track file access events within the Kaniko build environment.
auditctl -w /path/to/kaniko/build/directory -p wa -k kaniko_build• generic web: If Kaniko is integrated into a web application, monitor access logs for requests containing suspicious path traversal sequences in the build context parameters.
grep '..\/' /var/log/nginx/access.logdisclosure
Exploit Status
EPSS
0.23% (46% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-28406 is het upgraden van Chainguard Kaniko naar versie 1.25.10 of hoger. Indien een upgrade direct niet mogelijk is, overweeg dan het implementeren van restricties op de build context om de impact van een potentiële exploitatie te beperken. Dit kan bijvoorbeeld door het gebruik van een read-only volume voor de build context. Het is ook raadzaam om de build context te controleren op onverwachte bestanden of directory's. Na de upgrade, verifieer de correcte werking van Kaniko door een container image te bouwen en te controleren of er geen onverwachte bestanden zijn aangemaakt buiten de beoogde doelmappen.
Actualice kaniko a la versión 1.25.10 o superior. Esta versión corrige la vulnerabilidad de path traversal en la extracción del contexto de construcción, evitando la escritura de archivos fuera del directorio de destino.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-28406 is a Path Traversal vulnerability in Chainguard Kaniko affecting versions before 1.25.10. It allows attackers to write files outside intended directories during image builds.
You are affected if you are using Kaniko versions prior to 1.25.10. Check your Kaniko version and upgrade immediately if vulnerable.
Upgrade to Kaniko version 1.25.10 or later. If immediate upgrade is not possible, implement stricter build context validation and consider sandboxing.
There is currently no evidence of active exploitation in the wild, and no public proof-of-concept code has been released.
Refer to the Chainguard security advisory for detailed information and updates: [https://github.com/chainguard-dev/kaniko/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory URL)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.