Plataforma
go
Componente
github.com/chainguard-dev/kaniko
Corrigido em
1.25.5
1.25.11
1.25.10
O CVE-2026-28406 representa uma vulnerabilidade de Path Traversal descoberta no Kaniko, uma ferramenta de build de imagens Docker sem agente da Chainguard. Essa falha permite que um atacante escreva arquivos fora do diretório de destino durante o processo de extração do contexto de build, potencialmente comprometendo a integridade do build e a segurança do ambiente. Versões anteriores a 1.25.10 são afetadas, e a correção foi disponibilizada nesta versão.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante grave arquivos arbitrários no sistema de arquivos do host, potencialmente sobrescrevendo arquivos de configuração críticos, executando código malicioso ou obtendo acesso não autorizado a dados confidenciais. O impacto pode variar dependendo das permissões do usuário que executa o build do Kaniko e da configuração do ambiente. Em cenários de integração contínua (CI/CD), um atacante poderia comprometer todo o pipeline de build, injetando código malicioso em imagens de contêiner que são subsequentemente implantadas em produção. A gravidade é alta devido ao potencial de acesso não autorizado e comprometimento do sistema.
Atualmente, não há relatos públicos de exploração ativa do CVE-2026-28406. A vulnerabilidade foi adicionada ao KEV (Known Exploited Vulnerabilities) da CISA, indicando uma probabilidade média de exploração. POCs (Proofs of Concept) podem estar disponíveis ou em desenvolvimento, aumentando o risco de exploração futura. A data de publicação (2026-03-10) sugere que a vulnerabilidade é relativamente recente e ainda pode estar em fase de análise e exploração.
Organizations heavily reliant on Kaniko for automated container image builds, particularly those using it within CI/CD pipelines, are at significant risk. Shared hosting environments where multiple users build images using a shared Kaniko instance are also vulnerable, as a malicious build from one user could potentially impact other users' images or the host system itself. Legacy Kaniko deployments using older versions are particularly susceptible.
• go / kaniko: Inspect build scripts and Dockerfiles for unusual file paths or references to external directories. Use go vet to scan Kaniko source code for potential path traversal vulnerabilities.
• linux / server: Monitor build logs for unexpected file creation or modification in sensitive directories. Use auditd to track file access events within the Kaniko build environment.
auditctl -w /path/to/kaniko/build/directory -p wa -k kaniko_build• generic web: If Kaniko is integrated into a web application, monitor access logs for requests containing suspicious path traversal sequences in the build context parameters.
grep '..\/' /var/log/nginx/access.logdisclosure
Status do Exploit
EPSS
0.23% (percentil 46%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Kaniko para a versão 1.25.10 ou superior, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, implemente controles de acesso rigorosos ao contexto de build, restringindo as permissões do usuário que executa o Kaniko. Considere a utilização de um sistema de arquivos somente leitura para o contexto de build. Monitore os logs do Kaniko em busca de atividades suspeitas, como tentativas de acesso a arquivos fora do diretório de destino. Implementar uma camada de WAF (Web Application Firewall) pode ajudar a bloquear solicitações maliciosas que tentam explorar esta vulnerabilidade.
Actualice kaniko a la versión 1.25.10 o superior. Esta versión corrige la vulnerabilidad de path traversal en la extracción del contexto de construcción, evitando la escritura de archivos fuera del directorio de destino.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-28406 is a Path Traversal vulnerability in Chainguard Kaniko affecting versions before 1.25.10. It allows attackers to write files outside intended directories during image builds.
You are affected if you are using Kaniko versions prior to 1.25.10. Check your Kaniko version and upgrade immediately if vulnerable.
Upgrade to Kaniko version 1.25.10 or later. If immediate upgrade is not possible, implement stricter build context validation and consider sandboxing.
There is currently no evidence of active exploitation in the wild, and no public proof-of-concept code has been released.
Refer to the Chainguard security advisory for detailed information and updates: [https://github.com/chainguard-dev/kaniko/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory URL)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.