概要
Tekton Pipelines は Kubernetes 向け の CI/CD パイプライン リソース を 提供 する プロジェクト です。git resolver の pathInRepo パラメータ に パス トラバーサル 脆弱性 が あり、ResolutionRequests の 作成 権限 を 持つ テナント が resolver Pod の ファイルシステム から ServiceAccount トークン を 含む 任意 の ファイル を 読み取れます。ファイル 内容 は resolutionrequest.status.data に base64 エンコード で 返却 されます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 9.6(Critical) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 低(テナント 権限) |
| ユーザー 関与 | 不要 |
| CWE | CWE-22(パス トラバーサル) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン | 修正 バージョン |
|---|---|---|---|
| Tekton Pipelines | tektoncd | 1.0.0 〜 1.10.1 | 1.0.1, 1.3.3, 1.6.1, 1.9.2, 1.10.2 |
修正 バージョン と 回避策
- 修正 バージョン: 1.0.1、1.3.3、1.6.1、1.9.2、1.10.2
- Kubernetes クラスタ で Tekton Pipelines を 利用 している 場合 は 影響 を 受ける バージョン か 確認 し、速やか に アップデート してください
- ServiceAccount トークン が 漏洩 した 可能性 が ある 場合 は ローテーション を 検討 してください
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。