CVE-2026-33211 in pipelineinformazioni

Riassunto

di VulDB • 19/06/2026

Il progetto Tekton Pipelines fornisce risorse di tipo k8s per la dichiarazione di pipeline in stile CI/CD. A partire dalla versione 1.0.0 e fino alle versioni precedenti alla 1.0.1, 1.3.3, 1.6.1, 1.9.2 e 1.10.2, il git resolver di Tekton Pipelines è vulnerabile a path traversal tramite il parametro `pathInRepo`. Un tenant con autorizzazione per creare `ResolutionRequests` (ad esempio creando `TaskRuns` o `PipelineRuns` che utilizzano il git resolver) può leggere file arbitrari dal filesystem del pod del resolver, inclusi i token di ServiceAccount. Il contenuto dei file viene restituito codificato in base64 nel campo `resolutionrequest.status.data`. Le versioni 1.0.1, 1.3.3, 1.6.1, 1.9.2 e 1.10.2 contengono una patch.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

18/03/2026

Divulgazione

24/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00573

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!