Platform
go
Component
github.com/zarf-dev/zarf
Opgelost in
0.54.1
0.73.1
CVE-2026-29064 beschrijft een symlink-vulnerability in Zarf, een tool voor het beheren van Kubernetes applicaties. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om bestanden buiten de beoogde directory te schrijven, wat kan leiden tot onbedoelde overschrijvingen en potentieel compromitteren van systemen. De kwetsbaarheid treft versies van Zarf vóór 0.73.1. Een fix is beschikbaar in versie 0.73.1.
De symlink-vulnerability in Zarf stelt een aanvaller in staat om, door middel van manipulatie van symlinks in geüploade archieven, bestanden buiten de beoogde directory te schrijven. Dit kan leiden tot het overschrijven van kritieke configuratiebestanden, executables of andere gevoelige data. De impact kan variëren afhankelijk van de privileges van de Zarf-gebruiker en de configuratie van het Kubernetes-cluster. Een succesvolle exploitatie kan leiden tot een compromittering van het hele cluster, met mogelijk verlies van data, verstoring van de dienstverlening en ongeautoriseerde toegang tot gevoelige informatie. Hoewel er geen directe link is naar eerdere exploits, is het principe van symlink-manipulatie bekend en kan dit in combinatie met andere kwetsbaarheden een grotere impact hebben.
CVE-2026-29064 is openbaar bekend sinds 2026-03-10. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kwetsbaarheid is wel opgenomen in de NVD-database. De EPSS score is nog niet bepaald, maar de mogelijkheid tot het schrijven van bestanden buiten de beoogde directory maakt dit een potentiële dreiging. Er zijn geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid.
Organizations heavily reliant on Zarf for Kubernetes application deployment are at significant risk. This includes teams using Zarf in CI/CD pipelines, those deploying applications to production environments, and those with limited security controls around file integrity. Shared hosting environments utilizing Zarf are particularly vulnerable due to the potential for cross-tenant exploitation.
• go / binary: Monitor for unusual file creation or modification within the Zarf deployment directory. Use find /path/to/zarf -type f -mmin -60 to identify recently modified files.
• generic web: Inspect Zarf deployment archives for suspicious symlinks using tar -tvf archive.tar | grep '^l' to identify symbolic links.
• linux / server: Use ls -l within the Zarf deployment directory to check for unexpected symlinks pointing outside the intended directory.
disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-29064 is het upgraden van Zarf naar versie 0.73.1 of hoger, waarin de validatie van symlink-doelen is verbeterd. Indien een upgrade direct niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de permissies van de Zarf-gebruiker en het implementeren van strenge directory-restricties. Controleer de geüploade archieven op verdachte symlinks voordat ze worden gebruikt. Na de upgrade, verifieer de integriteit van de installatie door een testuitvoering van Zarf uit te voeren en de logbestanden te controleren op onverwachte fouten of waarschuwingen.
Werk Zarf bij naar versie 0.73.1 of hoger. Deze versie corrigeert de path traversal kwetsbaarheid bij het uitpakken van archieven, waardoor het aanmaken van symbolische links buiten de doelmap wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-29064 is a high-severity vulnerability in Zarf affecting versions prior to 0.73.1. It allows attackers to manipulate symbolic links within archives, potentially leading to arbitrary code execution.
You are affected if you are using Zarf versions 0.73.0 or earlier. Upgrade to version 0.73.1 or later to resolve this vulnerability.
Upgrade Zarf to version 0.73.1 or later. This version includes the necessary validation checks to prevent the exploitation of symlink targets.
There are currently no confirmed reports of active exploitation, but the vulnerability's potential impact warrants immediate attention and remediation.
Refer to the official Zarf project repository and release notes for the latest information and advisory regarding CVE-2026-29064.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.