CVE-2026-40938 in pipelineinformación

Resumen

por VulDB • 2026-05-19

El proyecto Tekton Pipelines proporciona recursos de estilo k8s para declarar pipelines de estilo CI/CD. Desde la versión 1.0.0 hasta antes de la 1.11.0, el parámetro revision del resolver git se pasa directamente como un argumento posicional a git fetch sin ninguna validación que asegure que no comience con un carácter -. Dado que git analiza las banderas (flags) a partir de argumentos posicionales mezclados, un atacante puede inyectar banderas arbitrarias de git fetch, como --upload-pack=.. Combinado con la función validateRepoURL que permite explícitamente URLs que comienzan con / (rutas del sistema de archivos local), un inquilino que pueda enviar objetos ResolutionRequest puede encadenar estos dos comportamientos para ejecutar un binario arbitrario en el pod del resolver. La ServiceAccount tekton-pipelines-resolvers tiene permisos get/list/watch a nivel de clúster sobre todos los Secrets, por lo que la ejecución de código en el pod del resolver permite la exfiltración completa de secretos a nivel de clúster. Esta vulnerabilidad está corregida en la versión 1.11.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-15

Divulgación

2026-04-22

Moderación

aceptado

Artículo

VDB-358743

CPE

listo

EPSS

0.00035

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40938
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40938
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40938/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!