| Title | Linux Foundationのtekton pipelinesにおけるリソースの枯渇に関する脆弱性 |
|---|---|
| Summary | Tekton Pipelines プロジェクトは、CI/CD スタイルのパイプラインを宣言するための Kubernetes スタイルのリソースを提供します。1.11.1 より前のバージョンでは、HTTP リゾルバーの FetchHttpResource 関数が、レスポンスボディのサイズ制限なしに io.ReadAll(resp.Body) を呼び出します。HTTP リゾルバーを参照する TaskRun または PipelineRun の作成権限を持つテナントは、攻撃者が制御する HTTP サーバーを指定でき、1 分のタイムアウトウィンドウ内で非常に大きなレスポンスボディを返すことが可能です。その結果、tekton-pipelines-resolvers ポッドは Kubernetes によって OOM キルされます。すべてのリゾルバータイプ(Git、Hub、Bundle、Cluster、HTTP)が同じポッドで実行されるため、このポッドのクラッシュによりクラスター全体の解決サービスが拒否されます。繰り返しの悪用は持続的なクラッシュループを引き起こします。同じ脆弱なコードパスは、非推奨となった pkg/resolution/resolver/http と現在の pkg/remoteresolution/resolver/http の両方の実装で存在します。この脆弱性は 1.11.1 で修正されています。 |
| Possible impacts | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 21, 2026, midnight |
| Registration Date | April 30, 2026, 12:27 p.m. |
| Last Update | April 30, 2026, 12:27 p.m. |
| CVSS3.0 : 警告 | |
| Score | 6.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Linux Foundation |
| tekton pipelines 1.11.1 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
April 30, 2026, 12:27 p.m. |
| Summary | Tekton Pipelines project provides k8s-style resources for declaring CI/CD-style pipelines. Prior to 1.11.1, the HTTP resolver's FetchHttpResource function calls io.ReadAll(resp.Body) with no response body size limit. Any tenant with permission to create TaskRuns or PipelineRuns that reference the HTTP resolver can point it at an attacker-controlled HTTP server that returns a very large response body within the 1-minute timeout window, causing the tekton-pipelines-resolvers pod to be OOM-killed by Kubernetes. Because all resolver types (Git, Hub, Bundle, Cluster, HTTP) run in the same pod, crashing this pod denies resolution service to the entire cluster. Repeated exploitation causes a sustained crash loop. The same vulnerable code path is reached by both the deprecated pkg/resolution/resolver/http and the current pkg/remoteresolution/resolver/http implementations. This vulnerability is fixed in 1.11.1. |
|---|---|
| Publication Date | April 22, 2026, 6:16 a.m. |
| Registration Date | April 25, 2026, 4:04 a.m. |
| Last Update | April 28, 2026, 3:06 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:linuxfoundation:tekton_pipelines:*:*:*:*:*:go:*:* | 1.11.1 | ||||