Platform
go
Component
helm.sh/helm/v4
Opgelost in
4.0.1
4.1.4
CVE-2026-35205 is een kwetsbaarheid in Helm, een package manager voor Kubernetes Charts. Tussen versies 4.0.0 en 4.1.3 kan Helm plugins installeren zonder de vereiste provenance (.prov file) wanneer signature verification is vereist. Dit stelt aanvallers in staat om potentieel kwaadaardige plugins te installeren. De kwetsbaarheid is verholpen in versie 4.1.4.
CVE-2026-35205 in Helm stelt plugin-auteurs in staat om provenance (ondertekening) gegevens uit plugins te verwijderen. Dit treft Helm-versies >=4.0.0 en <=4.1.3. Normaal gesproken verifieert Helm de plugin-handtekeningen om authenticiteit en integriteit te garanderen. Door deze verificatie te omzeilen, kan een aanvaller een kwaadaardige plugin installeren die wordt uitgevoerd met de rechten van de Helm-gebruiker. De uitvoering van hooks binnen de gecompromitteerde plugin kan leiden tot de uitvoering van willekeurige code op de Kubernetes-cluster, waardoor de beveiliging van de gehele infrastructuur mogelijk wordt aangetast.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een kwaadaardige plugin te maken zonder een geldig .prov-bestand. Het installeren van deze plugin op een Kubernetes-cluster dat Helm in de getroffen versies gebruikt, zou de aanvaller in staat stellen de handtekeningverificatie te omzeilen en willekeurige code uit te voeren via de hooks van de plugin. Dit scenario is vooral zorgwekkend in omgevingen waar Helm wordt gebruikt voor geautomatiseerd applicatiebeheer, omdat een kwaadaardige plugin zich snel door meerdere applicaties en services kan verspreiden.
Kubernetes clusters using Helm versions 4.0.0 through 4.1.3 are at direct risk. Organizations relying on Helm for managing applications and configurations within their Kubernetes environments, particularly those with automated plugin installation processes, should prioritize patching. Shared Kubernetes hosting environments are also at increased risk as a compromised plugin could affect multiple tenants.
• linux / server:
find /var/lib/helm/plugins -name '*.so' -not -path '*/.prov' -print• linux / server:
journalctl -u helm -g "plugin installation"• generic web: Inspect Helm plugin repositories for unsigned or poorly signed plugins. Check for unusual plugin installations or modifications.
disclosure
patch
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
De belangrijkste mitigatie voor deze kwetsbaarheid is het upgraden van Helm naar versie 4.1.4 of hoger. Deze versie lost het probleem op door ervoor te zorgen dat de provenance-verificatie correct wordt uitgevoerd. In de tussentijd, als voorzorgsmaatregel, schakelt u automatische plugin-installatie uit van onbetrouwbare bronnen. Controleer bovendien regelmatig de in uw Kubernetes-cluster geïnstalleerde plugins en zorg ervoor dat ze afkomstig zijn van vertrouwde bronnen. Het implementeren van Kubernetes-beveiligingsbeleid dat de rechten van plugins beperkt, kan ook helpen om de impact van een mogelijke exploitatie te verzachten.
Actualice Helm a la versión 4.1.4 o superior para evitar la instalación de plugins no firmados. La verificación de la procedencia de los plugins se ha reforzado en esta versión, mitigando el riesgo de instalar componentes maliciosos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een .prov-bestand bevat provenance-informatie, waaronder de digitale handtekening van een Helm-plugin. Het dient om de authenticiteit en integriteit van de plugin te verifiëren.
Helm-hooks zijn scripts die op verschillende momenten in de levenscyclus van een Helm-release worden uitgevoerd, zoals tijdens installatie, upgrade of verwijdering.
Voer de opdracht helm version uit in uw terminal. Dit toont de geïnstalleerde Helm-versie.
Ja, er zijn verschillende tools voor kwetsbaarheidsscans die Helm-plugins kunnen analyseren, zoals Trivy en Anchore.
Verwijder de verdachte plugin onmiddellijk en controleer de Kubernetes-auditlogboeken op ongebruikelijke activiteiten.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.