概要
Tekton Pipelines の Git resolver において、API モードを使用する際にシステム設定の Git API トークン(GitHub PAT、GitLab トークン等)がユーザーが制御可能な serverURL パラメータに送信される脆弱性が存在します。
TaskRun または PipelineRun の作成権限を持つテナントが、serverURL に攻撃者制御のエンドポイントを指定し token パラメータを省略することで、システムの共有 API トークンを窃取できます。漏洩したトークンはリポジトリへの不正アクセスやサプライチェーン攻撃に悪用される可能性があります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.7(High) |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 必要な特権(PR) | 低(TaskRun/PipelineRun 作成権限) |
| ユーザー関与(UI) | 不要 |
| CWE | CWE-201(Insertion of Sensitive Information Into Sent Data) |
影響を受けるソフトウェア
| 製品 | ベンダー | 脆弱なバージョン | 修正バージョン |
|---|---|---|---|
| github.com/tektoncd/pipeline | Tekton (Go) | 1.0.0 〜 1.0.1 | 1.0.2 |
| github.com/tektoncd/pipeline | Tekton (Go) | 1.1.x 〜 1.3.3 | 1.3.4 |
| github.com/tektoncd/pipeline | Tekton (Go) | 1.4.x 〜 1.6.1 | 1.6.2 |
| github.com/tektoncd/pipeline | Tekton (Go) | 1.7.x 〜 1.9.2 | 1.9.3 |
| github.com/tektoncd/pipeline | Tekton (Go) | 1.10.x 〜 1.11.0 | 1.11.1 |
修正バージョンと回避策
推奨対応: Tekton Pipelines を v1.0.2、v1.3.4、v1.6.2、v1.9.3、v1.11.1 のいずれかの修正バージョンへアップデートしてください。
回避策として、修正バージョンへのアップデートが困難な場合は以下を検討してください:
- Git resolver の API モードの利用を一時停止し、SSH モード等の代替認証方式に切り替える
serverURLを変更できるユーザーの RBAC 権限を最小化する
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。