CVE-2026-35205 是 Helm 包管理器中的一个安全漏洞。在 Helm 4.0.0 到 4.1.3 版本中,当启用签名验证时,Helm 会安装缺少 provenance 文件 (.prov) 的插件,这可能导致潜在的安全风险。该漏洞已在 Helm 4.1.4 版本中修复。
Helm中的CVE-2026-35205允许插件作者从插件中省略provenance(签名)数据。这影响到Helm版本>=4.0.0和<=4.1.3。通常,Helm会验证插件签名以确保其真实性和完整性。通过绕过此验证,攻击者可以安装一个恶意插件,该插件将使用Helm用户的权限运行。在受损插件中执行的hook可能导致在Kubernetes集群上执行任意代码,从而可能危及整个基础设施的安全性。
攻击者可以通过创建不带有效.prov文件的恶意插件来利用此漏洞。在Kubernetes集群上安装此插件,该集群使用受影响的Helm版本,将允许攻击者绕过签名验证并在插件的hook中执行任意代码。在Helm用于自动化应用程序管理的环境中,此场景尤其令人担忧,因为恶意插件可能会迅速传播到多个应用程序和服务中。
Kubernetes clusters using Helm versions 4.0.0 through 4.1.3 are at direct risk. Organizations relying on Helm for managing applications and configurations within their Kubernetes environments, particularly those with automated plugin installation processes, should prioritize patching. Shared Kubernetes hosting environments are also at increased risk as a compromised plugin could affect multiple tenants.
• linux / server:
find /var/lib/helm/plugins -name '*.so' -not -path '*/.prov' -print• linux / server:
journalctl -u helm -g "plugin installation"• generic web: Inspect Helm plugin repositories for unsigned or poorly signed plugins. Check for unusual plugin installations or modifications.
disclosure
patch
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
此漏洞的主要缓解措施是将Helm升级到版本4.1.4或更高版本。此版本通过确保正确执行provenance验证来修复此问题。在此期间,作为预防措施,禁用来自不受信任来源的插件的自动安装。此外,请定期审查Kubernetes集群中安装的插件,并确保它们来自受信任的来源。实施限制插件权限的Kubernetes安全策略也可以帮助减轻潜在利用的影响。
Actualice Helm a la versión 4.1.4 o superior para evitar la instalación de plugins no firmados. La verificación de la procedencia de los plugins se ha reforzado en esta versión, mitigando el riesgo de instalar componentes maliciosos.
漏洞分析和关键警报直接发送到您的邮箱。
.prov文件包含provenance信息,包括Helm插件的数字签名。它用于验证插件的真实性和完整性。
Helm hook是在Helm发布生命周期的不同阶段执行的脚本,例如安装、升级或删除。
在您的终端中运行命令helm version。这将显示已安装的Helm版本。
是的,有几种漏洞扫描工具可以分析Helm插件,例如Trivy和Anchore。
立即卸载可疑的插件,并检查Kubernetes审核日志是否存在任何异常活动。
上传你的 go.mod 文件,立即知道是否受影响。