CVE-2026-40938

Name of the Vulnerable Software and Affected Versions Tekton Pipelines versões 1.0.0 até 1.10.x

Description O resolvedor git não valida o parâmetro revision, que é passado diretamente como um argumento posicional para o comando git fetch. Isso permite que um invasor injete flags arbitrárias, como --upload-pack=<binary>. Além disso, a função validateRepoURL permite URLs que começam com /, possibilitando o uso de caminhos do sistema de arquivos local. Um locatário capaz de enviar objetos ResolutionRequest pode combinar esses comportamentos para executar binários arbitrários no pod do resolvedor. Como a ServiceAccount tekton-pipelines-resolvers possui permissões de get, list e watch em todos os Secrets em nível de cluster, isso pode levar à exfiltração total de segredos de todo o cluster.

Recommendations Atualize para a versão 1.11.1.