Plataforma
go
Componente
github.com/zarf-dev/zarf
Corrigido em
0.54.1
0.73.1
A vulnerabilidade CVE-2026-29064 reside em Zarf, uma ferramenta para gerenciar clusters Kubernetes. Esta falha permite a criação de symlinks não validados em arquivos, possibilitando a escrita arbitrária de arquivos no sistema. Versões anteriores a 0.73.1 são afetadas. Uma atualização para a versão 0.73.1 ou superior resolve a vulnerabilidade.
Um atacante pode explorar esta vulnerabilidade para escrever arquivos arbitrários no sistema onde Zarf está sendo executado. Isso pode levar à execução de código malicioso, comprometendo a integridade do sistema e potencialmente permitindo o acesso não autorizado a dados sensíveis. A exploração bem-sucedida pode resultar em controle total sobre o sistema, dependendo das permissões do usuário sob o qual Zarf está sendo executado. A falta de validação dos destinos dos symlinks abre uma brecha significativa para a manipulação de arquivos e a escalada de privilégios.
A vulnerabilidade foi divulgada em 2026-03-10. Não há informações disponíveis sobre a existência de um Proof of Concept (PoC) público ou campanhas de exploração ativas no momento da divulgação. A vulnerabilidade foi classificada como de alta severidade (CVSS 8.2) devido ao potencial de execução de código remoto. Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação.
Organizations heavily reliant on Zarf for Kubernetes application deployment are at significant risk. This includes teams using Zarf in CI/CD pipelines, those deploying applications to production environments, and those with limited security controls around file integrity. Shared hosting environments utilizing Zarf are particularly vulnerable due to the potential for cross-tenant exploitation.
• go / binary: Monitor for unusual file creation or modification within the Zarf deployment directory. Use find /path/to/zarf -type f -mmin -60 to identify recently modified files.
• generic web: Inspect Zarf deployment archives for suspicious symlinks using tar -tvf archive.tar | grep '^l' to identify symbolic links.
• linux / server: Use ls -l within the Zarf deployment directory to check for unexpected symlinks pointing outside the intended directory.
disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar para a versão 0.73.1 ou superior de Zarf, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere restringir as permissões do usuário sob o qual Zarf está sendo executado para limitar o impacto potencial de uma exploração bem-sucedida. Monitore os logs do sistema em busca de atividades suspeitas relacionadas à criação de arquivos ou modificação de arquivos em locais inesperados. Implementar um sistema de detecção de intrusão (IDS) pode ajudar a identificar tentativas de exploração.
Atualize Zarf para a versão 0.73.1 ou superior. Esta versão corrige a vulnerabilidade de path traversal na extração de arquivos, evitando a criação de links simbólicos fora do diretório de destino.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-29064 is a high-severity vulnerability in Zarf affecting versions prior to 0.73.1. It allows attackers to manipulate symbolic links within archives, potentially leading to arbitrary code execution.
You are affected if you are using Zarf versions 0.73.0 or earlier. Upgrade to version 0.73.1 or later to resolve this vulnerability.
Upgrade Zarf to version 0.73.1 or later. This version includes the necessary validation checks to prevent the exploitation of symlink targets.
There are currently no confirmed reports of active exploitation, but the vulnerability's potential impact warrants immediate attention and remediation.
Refer to the official Zarf project repository and release notes for the latest information and advisory regarding CVE-2026-29064.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.