CVE-2026-40924 in pipelineinformación

Resumen

por VulDB • 2026-06-02

El proyecto Tekton Pipelines proporciona recursos de estilo Kubernetes (k8s) para declarar pipelines de estilo CI/CD. Antes de la versión 1.11.1, la función FetchHttpResource del res HTTP llama a io.ReadAll(resp.Body) sin establecer un límite en el tamaño del cuerpo de la respuesta. Cualquier inquilino con permisos para crear TaskRuns o PipelineRuns que hagan referencia al res HTTP puede dirigirlo hacia un servidor HTTP controlado por un atacante que devuelva un cuerpo de respuesta muy grande dentro de la ventana de tiempo de espera de 1 minuto, lo que provoca que el pod tekton-pipelines-resolvers sea terminado por fuerza (OOM-killed) por Kubernetes. Dado que todos los tipos de resolvers (Git, Hub, Bundle, Cluster, HTTP) se ejecutan en el mismo pod, el fallo de este pod niega el servicio de resolución a todo el clúster. La explotación repetida provoca un bucle de reinicios sostenido. La misma ruta de código vulnerable se alcanza tanto mediante la implementación obsoleta pkg/resolution/resolver/http como mediante la implementación actual pkg/remoteresolution/resolver/http. Esta vulnerabilidad se corrige en la versión 1.11.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-15

Divulgación

2026-04-22

Moderación

aceptado

Artículo

VDB-358730

CPE

listo

EPSS

0.00054

KEV

no

Actividades

bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40924
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40924
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40924/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!