CVE-2026-33634 in setup-trivyالمعلومات

الملخص

بحسب VulDB • 15/05/2026

Trivy هو ماسح أمني. في 19 مارس 2026، استخدم فاعل تهديد بيانات اعتماد مسروقة لنشر إصدار ضار من Trivy v0.69.4، وإعادة دفع قسري (force-push) لـ 76 من أصل 77 علامة إصدار في المستودع `aquasecurity/trivy-action` إلى برمجيات خبيثة لسرقة بيانات الاعتماد، واستبدال جميع العلامات السبع في `aquasecurity/setup-trivy` بارتكابات (commits) خبيثة. يمثل هذا الحادث استمراراً لهجوم سلسلة التوريد الذي بدأ في أواخر فبراير 2026. بعد الكشف الأولي في 1 مارس، تم تدوير بيانات الاعتماد، لكن العملية لم تكن ذرية (لم يتم إلغاء صلاحية جميع بيانات الاعتماد في وقت واحد). كان بإمكان المهاجم استخدام رمز صالح لسرقة البيانات السرية الجديدة التي تم تدويرها خلال نافذة التدوير (التي استمرت لبضعة أيام). وقد مكّن ذلك المهاجم من الاحتفاظ بالوصول وتنفيذ هجوم 19 مارس. تشمل المكونات المتأثرة: `aquasecurity/trivy` (نسخة Go / صورة حاوية) الإصدار 0.69.4، وإصدارات `aquasecurity/trivy-action` (إجراء GitHub) من 0.0.1 إلى 0.34.2 (76/77)، وإصدارات `aquasecurity/setup-trivy` (إجراء GitHub) من 0.2.0 إلى 0.2.6، قبل إعادة إنشاء الإصدار 0.2.6 بارتكاب آمن. تشمل الإصدارات الآمنة المعروفة: الإصدارات 0.69.2 و0.69.3 من ثنائي Trivy، والإصدار 0.35.0 من trivy-action، والإصدار 0.2.6 من setup-trivy. بالإضافة إلى ذلك، اتبع تدابير تخفيف أخرى لضمان سلامة البيانات السرية. إذا كان هناك أي احتمال أن يكون إصدار متضرر قد تم تشغيله في بيئة ما، فيجب التعامل مع جميع البيانات السرية المتاحة لأنابيب التصنيع (pipelines) المتأثرة على أنها مكشوفة ويجب تدويرها على الفور. تحقق مما إذا كانت مؤسستك قد سحبت أو نفذت Trivy v0.69.4 من أي مصدر. قم بإزالة أي عناصر متأثرة على الفور. راجع جميع سير العمل (workflows) التي تستخدم `aquasecurity/trivy-action` أو `aquasecurity/setup-trivy`. يجب على أولئك الذين أشاروا إلى علامة إصدار بدلاً من معرف التزامن الكامل (full commit SHA) مراجعة سجلات تشغيل سير العمل من 19-20 مارس 2026 بحثاً عن علامات اختراق. ابحث عن مستودعات باسم `tpcp-docs` في منظمة GitHub الخاصة بك. قد يشير وجود مثل هذا المستودع إلى أن آلية الإخراج الاحتياطية قد تم تفعيلها وتم سرقة البيانات السرية بنجاح. قم بتثبيت (Pin) إجراءات GitHub على معرفات التزامن الكاملة وغير القابلة للتغيير (SHA hashes)، ولا تستخدم علامات الإصدارات القابلة للتغيير.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

24/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-352644

EPSS

0.23896

KEV

نعم

النشاطات

منخفض جدًا

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33634
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33634
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33634/

التالي نظرة عامة السابق

Might our Artificial Intelligence support you?

Check our Alexa App!