Platform
go
Component
github.com/tektoncd/pipeline
Opgelost in
1.0.1
1.1.1
1.4.1
1.7.1
1.10.1
1.0.1
1.0.1
1.0.1
1.0.1
1.0.1
CVE-2026-33211 beschrijft een Path Traversal kwetsbaarheid in de git resolver van Tekton Pipelines. Deze kwetsbaarheid stelt een kwaadwillende tenant met de juiste permissies in staat om willekeurige bestanden van de resolver pod te lezen, wat kan leiden tot het compromitteren van gevoelige informatie. De kwetsbaarheid treft versies van Tekton Pipelines vóór 1.0.1 en is opgelost in versie 1.0.1.
Een succesvolle exploitatie van deze kwetsbaarheid kan ernstige gevolgen hebben. Aanvallers kunnen ServiceAccount tokens stelen, waardoor ze toegang krijgen tot andere resources binnen de Kubernetes cluster. Dit kan leiden tot verdere laterale beweging en het compromitteren van de gehele omgeving. De mogelijkheid om willekeurige bestanden te lezen, opent de deur naar het verkrijgen van configuratiegegevens, geheimen en andere gevoelige informatie die op de resolver pod is opgeslagen. Dit is vergelijkbaar met scenario's waarbij credentials worden blootgesteld via onjuist geconfigureerde paden, wat de impact aanzienlijk vergroot.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve exploits in de wild, maar de ernst van de kwetsbaarheid (CVSS 9.6) en de potentiële impact maken het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van mitigatie onderstreept. Er zijn momenteel geen publieke proof-of-concept exploits bekend.
Organizations utilizing Tekton Pipelines for CI/CD workflows, particularly those with complex permission structures granting tenants the ability to create ResolutionRequests, are at risk. Shared Kubernetes clusters where multiple teams or projects share resources are also particularly vulnerable, as a compromised tenant could potentially impact other workloads.
• linux / server:
journalctl -u tekton-git-resolver -g 'pathInRepo' | grep -i 'file content'• linux / server:
ps aux | grep -i 'github.com/tektoncd/pipeline/pkg/resolution/resolver/git/repository.go'• generic web:
curl -I 'http://<tekton-resolver-url>/resolutionrequest?pathInRepo=/../../../../etc/passwd' # Check for 200 OK response indicating file accessdisclosure
Exploit Status
EPSS
0.03% (7% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Tekton Pipelines naar versie 1.0.1 of hoger. Als een upgrade momenteel niet mogelijk is, overweeg dan om de permissies van tenants te beperken, zodat ze geen ResolutionRequests kunnen maken. Implementeer strikte toegangscontroles en monitor de resolver pod op verdachte activiteiten. Controleer de Kubernetes RBAC configuratie om ervoor te zorgen dat tenants alleen de minimale benodigde permissies hebben. Na de upgrade, verifieer de fix door te proberen een bestand buiten de toegestane repository directory te benaderen via de pathInRepo parameter; dit zou een foutmelding moeten opleveren.
Werk Tekton Pipelines bij naar versies 1.0.1, 1.3.3, 1.6.1, 1.9.2 of 1.10.2 of hoger. Deze versies bevatten een oplossing voor de path traversal kwetsbaarheid in de git resolver.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33211 is a critical vulnerability in Tekton Pipelines allowing attackers to read arbitrary files via the pathInRepo parameter, potentially exposing sensitive data like ServiceAccount tokens.
You are affected if you are using Tekton Pipelines versions prior to 1.0.1 and have tenants with permission to create ResolutionRequests.
Upgrade Tekton Pipelines to version 1.0.1 or later to address the vulnerability. Restrict tenant permissions as an interim measure.
While no public exploits are currently known, the vulnerability's ease of exploitation makes it a high-priority concern.
Refer to the official Tekton Pipelines security advisory for detailed information and updates: [https://github.com/tektoncd/pipeline/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory link)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.