Plataforma
go
Componente
helm.sh/helm/v4
Corrigido em
4.0.1
4.1.4
O CVE-2026-35204 é uma vulnerabilidade de Path Traversal descoberta no gerenciador de pacotes Helm, especificamente nas versões 4.0.0 até 4.1.3. Um plugin malicioso, ao ser instalado ou atualizado, pode levar o Helm a escrever seu conteúdo em um local arbitrário do sistema de arquivos. A vulnerabilidade foi publicada em 10 de abril de 2026 e corrigida na versão 4.1.4.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante, através da instalação ou atualização de um plugin Helm especialmente criado, force o Helm a escrever o conteúdo desse plugin em qualquer local do sistema de arquivos do usuário. Isso representa um risco significativo, pois pode levar à sobreescrita de arquivos de usuário e do sistema, comprometendo a integridade do sistema. Um atacante poderia, por exemplo, substituir arquivos de configuração críticos, injetar código malicioso ou até mesmo obter controle sobre o sistema. A gravidade da vulnerabilidade reside na sua capacidade de permitir a escrita arbitrária, abrindo portas para diversas formas de ataque.
Atualmente, não há informações disponíveis sobre exploração ativa do CVE-2026-35204. A vulnerabilidade foi adicionada ao NVD em 10 de abril de 2026. Ainda não foi listada no KEV da CISA, e a probabilidade de exploração é considerada baixa a média, dependendo da prevalência das versões afetadas em ambientes de produção. A ausência de um Proof of Concept (PoC) publicamente disponível dificulta a avaliação precisa do risco.
Organizations heavily reliant on Helm for managing Kubernetes deployments are at risk. This includes DevOps teams, platform engineers, and anyone responsible for maintaining Kubernetes clusters. Users who have installed plugins from untrusted sources are particularly vulnerable. Shared hosting environments where multiple users share a single Helm installation are also at increased risk.
• linux / server: Monitor Helm plugin directories (e.g., /var/lib/helm/plugins) for unexpected files or modifications. Use ls -l and find commands to identify anomalies.
find /var/lib/helm/plugins -type f -mmin -60 -print• go: Inspect Helm plugin code for suspicious file path manipulation. Look for functions like os.MkdirAll or os.Create used with user-controlled input.
• generic web: Examine Helm logs for errors related to file writing or permission denied errors.
journalctl -u helm -fdisclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
A mitigação primária para o CVE-2026-35204 é a atualização imediata para a versão 4.1.4 ou superior do Helm. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere a implementação de medidas de segurança adicionais. Restrinja o acesso à instalação e atualização de plugins Helm apenas a usuários confiáveis. Implemente regras em um Web Application Firewall (WAF) ou proxy para bloquear requisições suspeitas relacionadas à instalação de plugins. Monitore logs do sistema em busca de atividades incomuns relacionadas à escrita de arquivos em locais inesperados. Após a atualização, verifique a integridade dos arquivos do sistema para garantir que não foram modificados.
Actualice Helm a la versión 4.1.4 o superior para mitigar esta vulnerabilidad. Verifique que el archivo plugin.yaml de sus plugins no contenga la secuencia '/../' en el campo 'version:' para evitar la escritura de archivos arbitrarios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35204 is a Path Traversal vulnerability in Helm v4 allowing malicious plugins to write to arbitrary filesystem locations.
You are affected if you are running Helm versions 4.0.0 through 4.1.3. Upgrade to 4.1.4 or later to resolve the vulnerability.
Upgrade Helm to version 4.1.4 or later. If immediate upgrade is not possible, restrict filesystem access for the Helm process.
There is currently no evidence of active exploitation, but the potential exists due to the ease of crafting a malicious plugin.
Refer to the official Helm security advisory on the helm.sh website for detailed information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.