Plataforma
go
Componente
github.com/tektoncd/pipeline
Corrigido em
1.0.1
1.1.1
1.4.1
1.7.1
1.10.1
1.0.1
1.0.1
1.0.1
1.0.1
1.0.1
A vulnerabilidade CVE-2026-33211 é uma falha de Path Traversal descoberta no componente github.com/tektoncd/pipeline do Tekton Pipelines. Essa falha permite que um atacante com permissão para criar ResolutionRequests leia arquivos arbitrários do sistema de arquivos do pod do resolvedor Git, incluindo tokens de ServiceAccount. A vulnerabilidade afeta versões anteriores a 1.0.1 e a correção foi disponibilizada na versão 1.0.1.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso não autorizado a informações sensíveis armazenadas no sistema de arquivos do pod do resolvedor Git. O impacto mais grave é a obtenção de tokens de ServiceAccount, que podem ser utilizados para escalar privilégios e comprometer a infraestrutura subjacente. Um atacante poderia, por exemplo, usar esses tokens para executar comandos com as permissões da ServiceAccount, acessar recursos protegidos ou até mesmo comprometer outros pods na mesma rede. A natureza base64-encoded dos dados extraídos pode simplificar a exfiltração, tornando a exploração ainda mais atraente para atacantes.
A vulnerabilidade foi divulgada em 2026-03-18. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um ponto de entrada simples (o parâmetro pathInRepo) e a possibilidade de obter tokens de ServiceAccount tornam esta vulnerabilidade um alvo potencial para exploração, especialmente em ambientes com configurações inadequadas.
Organizations utilizing Tekton Pipelines for CI/CD workflows, particularly those with complex permission structures granting tenants the ability to create ResolutionRequests, are at risk. Shared Kubernetes clusters where multiple teams or projects share resources are also particularly vulnerable, as a compromised tenant could potentially impact other workloads.
• linux / server:
journalctl -u tekton-git-resolver -g 'pathInRepo' | grep -i 'file content'• linux / server:
ps aux | grep -i 'github.com/tektoncd/pipeline/pkg/resolution/resolver/git/repository.go'• generic web:
curl -I 'http://<tekton-resolver-url>/resolutionrequest?pathInRepo=/../../../../etc/passwd' # Check for 200 OK response indicating file accessdisclosure
Status do Exploit
EPSS
0.03% (percentil 7%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-33211 é a atualização imediata para a versão 1.0.1 ou superior do Tekton Pipelines. Se a atualização imediata não for possível, considere restringir as permissões de criação de ResolutionRequests para usuários não confiáveis. Implementar controles de acesso rigorosos e monitorar a atividade do resolvedor Git pode ajudar a detectar tentativas de exploração. Embora não seja uma solução completa, a implementação de políticas de rede para limitar o acesso ao pod do resolvedor Git pode reduzir o impacto de uma possível exploração. Após a atualização, confirme a correção verificando os logs do resolvedor Git para garantir que não haja tentativas de acesso a arquivos não autorizados.
Atualize Tekton Pipelines para as versões 1.0.1, 1.3.3, 1.6.1, 1.9.2 ou 1.10.2 ou superior. Estas versões contêm uma solução para a vulnerabilidade de path traversal no resolvedor git.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33211 is a critical vulnerability in Tekton Pipelines allowing attackers to read arbitrary files via the pathInRepo parameter, potentially exposing sensitive data like ServiceAccount tokens.
You are affected if you are using Tekton Pipelines versions prior to 1.0.1 and have tenants with permission to create ResolutionRequests.
Upgrade Tekton Pipelines to version 1.0.1 or later to address the vulnerability. Restrict tenant permissions as an interim measure.
While no public exploits are currently known, the vulnerability's ease of exploitation makes it a high-priority concern.
Refer to the official Tekton Pipelines security advisory for detailed information and updates: [https://github.com/tektoncd/pipeline/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory link)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.