漏洞概述 Tekton Pipeline v1.11.1 版本中存在多个安全漏洞,具体包括: 1. Git 解析器 API 模式泄露系统配置的 API 令牌 - CVE-2026-40161 (HIGH) - 描述:Git 解析器 API 模式泄露系统配置的 API 令牌给服务器控制的 。用户可以创建 TaskRuns 来泄露系统 Git API 令牌,通过指向攻击者控制的服务器。 2. Git 解析器未验证的修订参数导致参数注入 - CVE-2026-40938 (HIGH) - 描述:Git 解析器未验证的修订参数导致参数注入。恶意修订值可以注入任意标志到 CLI,可能导致远程代码执行。 3. VolumeMount 路径限制绕过 - CVE-2026-40923 (Medium) - 描述:VolumeMount 路径限制绕过,通过缺失的文件路径规范化。路径如 可以绕过 前缀限制检查。 4. VerificationPolicy 正则表达式模式绕过 - CVE-2026-25542 (Medium) - 描述:VerificationPolicy 正则表达式模式绕过,通过子字符串匹配。未锚定的模式允许部分匹配,使未签名的资源通过验证。 5. HTTP 解析器无界响应体读取导致 OOM 拒绝服务 - CVE-2026-40924 (Medium) - 描述:HTTP 解析器无界响应体读取导致 OOM 拒绝服务。恶意 URL 返回非常大的响应可以耗尽解析器 pod 的内存。响应体现在限制为 1 MiB。 影响范围 Git 解析器 API 模式泄露:影响所有使用 Git 解析器的用户,特别是那些配置了敏感 API 令牌的用户。 Git 解析器参数注入:影响所有使用 Git 解析器的用户,特别是那些允许用户控制修订参数的用户。 VolumeMount 路径限制绕过:影响所有使用 VolumeMount 的用户,特别是那些依赖路径限制来保护敏感数据的用户。 VerificationPolicy 正则表达式模式绕过:影响所有使用 VerificationPolicy 的用户,特别是那些依赖正则表达式进行资源验证的用户。 HTTP 解析器 OOM 拒绝服务:影响所有使用 HTTP 解析器的用户,特别是那些处理外部 URL 响应的用户。 修复方案 更新 Tekton Pipeline 到 v1.11.1:该版本已经修复了上述所有安全漏洞。 安装命令: 其他信息 Attestation:发布文件中包含所有容器镜像的 attestation,可以通过以下命令验证: Changes: - 更新了 从 1.79.3 到 1.80.0。 以上信息总结了 Tekton Pipeline v1.11.1 版本中的关键安全漏洞及其修复方案。