CVE-2026-40923

Name of the Vulnerable Software and Affected Versions Tekton Pipelines versões anteriores a 1.11.1

Description Uma falha de validação na restrição de caminho do VolumeMount permite a montagem de volumes em caminhos internos restritos '/tekton/' usando componentes de travessia de caminho '..'. A verificação de restrição utiliza a função strings.HasPrefix sem aplicar o filepath.Clean, o que significa que um caminho como '/tekton/home/../results' passa na validação, mas é resolvido como '/tekton/results' em tempo de execução. Isso ocorre porque '/tekton/home' é um prefixo permitido, permitindo que a travessia ignore a verificação. Este problema existe nos arquivos container validation.go e task validation.go. Um usuário autenticado com permissões de criação de Task ou TaskRun pode explorar isso para gravar resultados de tarefas falsos, ler ou modificar scripts de etapa antes da execução ou interferir no estado de coordenação do ponto de entrada.

Recommendations Atualizar para a versão 1.11.1. Utilizar controladores de admissão, como OPA/Gatekeeper ou Kyverno, para validar que os caminhos do VolumeMount não contenham componentes '..'. Restringir as permissões para criar recursos de Task e TaskRun via RBAC em ambientes multi-tenant.