CVE-2026-33211 in pipeline
الملخص
بحسب VulDB • 23/06/2026
يوفر مشروع Tekton Pipelines موارد على غرار Kubernetes (k8s) للإعلان عن خطوط أنابيب CI/CD. بدءاً من الإصدار 1.0.0 وحتى قبل إصدارات 1.0.1، و1.3.3، و1.6.1، و1.9.2، و1.10.2، يكون مُحلل Git في Tekton Pipelines عرضة لهجوم عبور المسار (Path Traversal) عبر المعلمة `pathInRepo`. يمكن للمستخدم المستأجر الذي يمتلك صلاحية إنشاء طلبات الحل (`ResolutionRequests`) - على سبيل المثال من خلال إنشاء `TaskRuns` أو `PipelineRuns` التي تستخدم مُحلل Git - قراءة ملفات عشوائية من نظام الملفات الخاص بوُحْدَة التنفيذ (Pod) الخاصة بالمُحلّل، بما في ذلك رموز حساب الخدمة (ServiceAccount tokens). تُعاد محتويات الملف مشفرةً بتنسيق Base64 ضمن حقل `resolutionrequest.status.data`. تحتوي الإصدارات 1.0.1، و1.3.3، و1.6.1، و1.9.2، و1.10.2 على تصحيح للثغرة.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.