概要
Kubernetes パッケージマネージャー Helm の バージョン 4.0.0 から 4.1.3 において、プラグイン の インストール または アップデート 時 に plugin.yaml の version フィールド に POSIX のドットドットパス区切り文字(/../)が 含まれて いた 場合、Helm が プラグイン の 内容 を 任意 の ファイルシステム の 場所 に 書き込んで しまう パストラバーサル の 脆弱性 が 存在 します。
悪意 の ある プラグイン を インストール させる こと で、攻撃者 は ファイルシステム 上 の 任意 の 場所 に ファイル を 書き込む こと が 可能 です。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS v3 スコア | 8.6(High) |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 必要な特権(PR) | 不要 |
| ユーザー関与(UI) | 不要 |
| 影響の範囲(S) | 変更あり |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | なし |
| CWE | CWE-22(パストラバーサル) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン | 修正バージョン |
|---|---|---|---|
| Helm | Helm Project | 4.0.0〜4.1.3 | 4.1.4 |
修正バージョンと回避策
- 修正: Helm 4.1.4 へアップデート
- 回避策: 信頼できないソースからのプラグインのインストールを避ける
- 確認方法:
helm versionコマンドでバージョンを確認
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。