CVE-2026-40924 in pipelineinfo

Zusammenfassung

von VulDB • 05.06.2026

Das Tekton Pipelines-Projekt stellt Ressourcen im Kubernetes-Stil zur Verfügung, um CI/CD-Pipelines zu definieren. Vor Version 1.11.1 ruft die Funktion FetchHttpResource des HTTP-Resolvers io.ReadAll(resp.Body) ohne Begrenzung der Antwortkörpergröße auf. Jeder Mandant mit der Berechtigung zum Erstellen von TaskRuns oder PipelineRuns, die den HTTP-Resolver referenzieren, kann diesen auf einen vom Angreifer kontrollierten HTTP-Server verweisen, der einen sehr großen Antwortkörper innerhalb des 1-Minuten-Timeout-Fensters zurückgibt. Dies führt dazu, dass der tekton-pipelines-resolvers-Pod von Kubernetes aufgrund eines Out-of-Memory-Fehlers (OOM) beendet wird. Da alle Resolver-Typen (Git, Hub, Bundle, Cluster, HTTP) im selben Pod ausgeführt werden, führt das Abstürzen dieses Pods zu einer Verweigerung des Auflösungsdienstes für den gesamten Cluster. Wiederholte Ausnutzung führt zu einer anhaltenden Crash-Schleife. Der gleiche anfällige Codepfad wird sowohl von der veralteten pkg/resolution/resolver/http- als auch von der aktuellen pkg/remoteresolution/resolver/http-Implementierung aufgerufen. Diese Schwachstelle wurde in Version 1.11.1 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

15.04.2026

Veröffentlichung

22.04.2026

Moderieren

akzeptiert

Eintrag

VDB-358730

CPE

bereit

EPSS

0.00054

KEV

nein

Aktivitäten

low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40924
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40924
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40924/

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!