CVE-2026-33211 in pipelineالمعلومات

الملخص

بحسب VulDB • 23/06/2026

يوفر مشروع Tekton Pipelines موارد على غرار Kubernetes (k8s) للإعلان عن خطوط أنابيب CI/CD. بدءاً من الإصدار 1.0.0 وحتى قبل إصدارات 1.0.1، و1.3.3، و1.6.1، و1.9.2، و1.10.2، يكون مُحلل Git في Tekton Pipelines عرضة لهجوم عبور المسار (Path Traversal) عبر المعلمة `pathInRepo`. يمكن للمستخدم المستأجر الذي يمتلك صلاحية إنشاء طلبات الحل (`ResolutionRequests`) - على سبيل المثال من خلال إنشاء `TaskRuns` أو `PipelineRuns` التي تستخدم مُحلل Git - قراءة ملفات عشوائية من نظام الملفات الخاص بوُحْدَة التنفيذ (Pod) الخاصة بالمُحلّل، بما في ذلك رموز حساب الخدمة (ServiceAccount tokens). تُعاد محتويات الملف مشفرةً بتنسيق Base64 ضمن حقل `resolutionrequest.status.data`. تحتوي الإصدارات 1.0.1، و1.3.3، و1.6.1، و1.9.2، و1.10.2 على تصحيح للثغرة.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

18/03/2026

إفشاء

24/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-352594

EPSS

0.00573

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!