つみかさね

CVE-2026-40161

High(7.7)

CVE-2026-40161 — Tekton Pipelines APIトークン漏洩

公開日: 2026-04-22データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
github.com/tektoncd/pipelineTekton (Go)修正バージョン未提供

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1Tekton Pipelines で Git resolver の API モードを使用しているか確認する
  2. 2API モードを使用している場合は一時的に停止し、SSH モード等への切り替えを検討する
  3. 3serverURL パラメータを変更できるユーザーの RBAC 権限を見直し制限する

影響対象

Tekton Pipelines CI/CD利用者

補足

  • -修正バージョンが未提供のため、回避策の適用が重要です。CI/CD パイプラインのトークン漏洩はサプライチェーン攻撃につながるリスクがあります
CVETektonトークン漏洩GoCI/CD

概要

Tekton Pipelines の Git resolver において、API モードを使用する際にシステム設定の API トークンがユーザーが制御可能な serverURL に送信される脆弱性が存在します。攻撃者は低い特権レベルで serverURL パラメータに自身が管理するサーバーを指定することで、システムの API トークンを窃取できるおそれがあります。

CI/CD パイプラインの中核コンポーネントであるため、トークン漏洩による影響範囲は広く、サプライチェーン攻撃につながる可能性があります。

CVSSベクトル

項目
CVSSスコア7.7(High)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権
ユーザー関与不要
CWECWE-200(情報漏洩)

影響を受けるソフトウェア

製品ベンダー影響バージョン
github.com/tektoncd/pipelineTekton (Go)修正バージョン未提供

修正バージョンと回避策

  • 修正バージョンは未提供。Git resolver の API モードの利用を一時的に停止するか、serverURL 設定を信頼できるものに限定することを推奨します。
  • 回避策: Git resolver で API モードを無効化し、代わりに SSH モードなど別の認証方式を使用する。また、Tekton の RBAC 設定を見直し、serverURL を変更できるユーザーを最小限に制限する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

GitHub Advisory:https://github.com/tektoncd/pipeline/security/advisories/GHSA-wjxp-xrpv-xpff
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-40161
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。