CVE-2026-33211 in pipelinethông tin

Tóm tắt

Bởi VulDB • 23/06/2026

Dự án Tekton Pipelines cung cấp các tài nguyên kiểu Kubernetes (k8s) để khai báo các đường dẫn quy trình CI/CD. Bắt đầu từ phiên bản 1.0.0 và trước các phiên bản 1.0.1, 1.3.3, 1.6.1, 1.9.2 và 1.10.2, bộ giải mã git (git resolver) của Tekton Pipelines dễ bị tấn công theo kiểu path traversal thông qua tham số `pathInRepo`. Một tenant có quyền tạo các đối tượng `ResolutionRequests` (ví dụ: bằng cách tạo `TaskRuns` hoặc `PipelineRuns` sử dụng bộ giải mã git) có thể đọc các tệp tùy ý từ hệ thống tệp của pod resolver, bao gồm cả token ServiceAccount. Nội dung tệp được trả về dưới dạng base64-encoded trong trường `resolutionrequest.status.data`. Các phiên bản 1.0.1, 1.3.3, 1.6.1, 1.9.2 và 1.10.2 đã chứa bản vá lỗi.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

18/03/2026

Tiết lộ

24/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00573

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!