Plataforma
go
Componente
helm.sh/helm/v4
Corrigido em
4.0.1
4.1.4
O CVE-2026-35205 é uma vulnerabilidade de segurança no gerenciador de pacotes Helm para Kubernetes. Nas versões de 4.0.0 a 4.1.3, o Helm pode instalar plugins que não possuem arquivos de prova de origem (.prov), mesmo quando a verificação de assinatura está habilitada. Isso permite que um atacante instale plugins maliciosos sem que o usuário seja alertado, comprometendo a segurança do cluster Kubernetes. A vulnerabilidade foi corrigida na versão 4.1.4.
A vulnerabilidade CVE-2026-35205 no Helm permite que autores de plugins omitam dados de procedência (assinatura) dos plugins. Isso afeta as versões do Helm >=4.0.0 e <=4.1.3. Normalmente, o Helm verifica as assinaturas dos plugins para garantir sua autenticidade e integridade. Ao contornar essa verificação, um atacante pode instalar um plugin malicioso que é executado com os privilégios do usuário do Helm. A execução de hooks dentro do plugin comprometido pode resultar na execução de código arbitrário no cluster Kubernetes, comprometendo potencialmente a segurança de toda a infraestrutura.
Um atacante pode explorar esta vulnerabilidade criando um plugin malicioso sem um arquivo .prov válido. Ao instalar este plugin em um cluster Kubernetes que utiliza o Helm com as versões afetadas, o atacante pode contornar a verificação da assinatura e executar código arbitrário através dos hooks do plugin. Este cenário é particularmente preocupante em ambientes onde o Helm é usado para o gerenciamento automatizado de aplicativos, pois um plugin malicioso pode se propagar rapidamente por vários aplicativos e serviços.
Kubernetes clusters using Helm versions 4.0.0 through 4.1.3 are at direct risk. Organizations relying on Helm for managing applications and configurations within their Kubernetes environments, particularly those with automated plugin installation processes, should prioritize patching. Shared Kubernetes hosting environments are also at increased risk as a compromised plugin could affect multiple tenants.
• linux / server:
find /var/lib/helm/plugins -name '*.so' -not -path '*/.prov' -print• linux / server:
journalctl -u helm -g "plugin installation"• generic web: Inspect Helm plugin repositories for unsigned or poorly signed plugins. Check for unusual plugin installations or modifications.
disclosure
patch
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
A principal mitigação para esta vulnerabilidade é atualizar o Helm para a versão 4.1.4 ou superior. Esta versão corrige o problema garantindo que a verificação de procedência seja realizada corretamente. Enquanto isso, como medida de precaução, desative a instalação automática de plugins de fontes não confiáveis. Além disso, revise regularmente os plugins instalados em seu cluster Kubernetes e certifique-se de que eles sejam de fontes confiáveis. Implementar políticas de segurança do Kubernetes que limitem os privilégios dos plugins também pode ajudar a mitigar o impacto de uma possível exploração.
Actualice Helm a la versión 4.1.4 o superior para evitar la instalación de plugins no firmados. La verificación de la procedencia de los plugins se ha reforzado en esta versión, mitigando el riesgo de instalar componentes maliciosos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um arquivo .prov contém informações de procedência, incluindo a assinatura digital de um plugin do Helm. Serve para verificar a autenticidade e integridade do plugin.
Os hooks do Helm são scripts que são executados em diferentes pontos do ciclo de vida de uma release do Helm, como a instalação, a atualização ou a exclusão.
Execute o comando helm version no seu terminal. Isso mostrará a versão do Helm instalada.
Sim, existem várias ferramentas de escaneamento de vulnerabilidades que podem analisar plugins do Helm, como Trivy e Anchore.
Desinstale imediatamente o plugin suspeito e revise os logs de auditoria do Kubernetes para detectar qualquer atividade incomum.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.