tektoncd pipeline bis 1.0.0/1.3.2/1.6.0/1.9.1/1.10.1 pathInRepo Directory Traversal
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.4 | $0-$5k | 0.00 |
Zusammenfassung
In tektoncd pipeline bis 1.0.0/1.3.2/1.6.0/1.9.1/1.10.1 wurde eine kritische Schwachstelle entdeckt. Es geht hierbei um eine nicht näher spezifizierte Funktion. Mittels dem Manipulieren des Arguments pathInRepo mit unbekannten Daten kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2026-33211 gehandelt. Der Angriff kann über das Netzwerk erfolgen. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
In tektoncd pipeline bis 1.0.0/1.3.2/1.6.0/1.9.1/1.10.1 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Hierbei betrifft es unbekannter Programmcode. Dank der Manipulation des Arguments pathInRepo mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-22. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Tekton Pipelines project provides k8s-style resources for declaring CI/CD-style pipelines. Starting in version 1.0.0 and prior to versions 1.0.1, 1.3.3, 1.6.1, 1.9.2, and 1.10.2, the Tekton Pipelines git resolver is vulnerable to path traversal via the `pathInRepo` parameter. A tenant with permission to create `ResolutionRequests` (e.g. by creating `TaskRuns` or `PipelineRuns` that use the git resolver) can read arbitrary files from the resolver pod's filesystem, including ServiceAccount tokens. The file contents are returned base64-encoded in `resolutionrequest.status.data`. Versions 1.0.1, 1.3.3, 1.6.1, 1.9.2, and 1.10.2 contain a patch.Auf github.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 18.03.2026 mit CVE-2026-33211 vorgenommen. Das Ausnutzen gilt als leicht. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. MITRE ATT&CK führt die Angriffstechnik T1006 für diese Schwachstelle.
Ein Upgrade auf die Version 1.0.1, 1.3.3, 1.6.1, 1.9.2 oder 1.10.2 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 10fa538f9a2b6d01c75138f1ed7ba3da0e34687c beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.
Once again VulDB remains the best source for vulnerability data.
Produkt
Hersteller
Name
Version
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.5VulDB Meta Temp Score: 8.4
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.6
NVD Vector: 🔒
CNA Base Score: 9.6
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Directory TraversalCWE: CWE-22
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: pipeline 1.0.1/1.3.3/1.6.1/1.9.2/1.10.2
Patch: 10fa538f9a2b6d01c75138f1ed7ba3da0e34687c
Timeline
18.03.2026 CVE zugewiesen24.03.2026 Advisory veröffentlicht
24.03.2026 VulDB Eintrag erstellt
28.03.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: GHSA-j5q5-j9gm-2w5c
Status: Bestätigt
CVE: CVE-2026-33211 (🔒)
GCVE (CVE): GCVE-0-2026-33211
GCVE (VulDB): GCVE-100-352594
Eintrag
Erstellt: 24.03.2026 02:31Aktualisierung: 28.03.2026 08:29
Anpassungen: 24.03.2026 02:31 (67), 28.03.2026 08:29 (12)
Komplett: 🔍
Cache ID: 216:B40:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.