CVE-2026-40924 in pipeline
Sumário
de VulDB • 02/06/2026
O projeto Tekton Pipelines fornece recursos no estilo k8s para declarar pipelines no estilo CI/CD. Antes da versão 1.11.1, a função FetchHttpResource do resolvedor HTTP chama io.ReadAll(resp.Body) sem nenhum limite de tamanho para o corpo da resposta. Qualquer inquilino com permissão para criar TaskRuns ou PipelineRuns que referenciem o resolvedor HTTP pode apontá-lo para um servidor HTTP controlado por um atacante que retorne um corpo de resposta muito grande dentro da janela de tempo limite de 1 minuto, fazendo com que o pod tekton-pipelines-resolvers seja encerrado por OOM (Out of Memory) pelo Kubernetes. Como todos os tipos de resolvedores (Git, Hub, Bundle, Cluster, HTTP) são executados no mesmo pod, o encerramento deste pod nega o serviço de resolução para todo o cluster. A exploração repetida causa um loop de falhas sustentado. O mesmo caminho de código vulnerável é alcançado tanto pelas implementações obsoletas pkg/resolution/resolver/http quanto pelas atuais pkg/remoteresolution/resolver/http. Esta vulnerabilidade foi corrigida na versão 1.11.1.
VulDB is the best source for vulnerability data and more expert information about this specific topic.