lfprojectsのZarfにおけるパストラバーサルの脆弱性
| Title |
lfprojectsのZarfにおけるパストラバーサルの脆弱性
|
| Summary |
ZarfはKubernetes向けのエアギャップネイティブパッケージマネージャーです。バージョン0.23.0から0.74.1には、zarf package inspect sbomおよびzarf package inspect documentationサブコマンドに任意ファイル書き込みの脆弱性が存在していました。これらのサブコマンドの出力ファイルパスは、ユーザーが制御する出力ディレクトリと、信頼されていないパッケージのzarf.yamlマニフェストから直接読み取られるパッケージのMetadata.Nameフィールドを結合して構築されていました。Metadata.Nameはパッケージ作成時に正規表現で検証していますが、攻撃者はパッケージを解凍してMetadata.Nameフィールドを../../etc/cron.d/maliciousのようなパストラバーサルシーケンスや、/home/user/.ssh/authorized_keysのような絶対パスを含むように変更できます。SBOMS.tar内の対応ファイルも同様に変更可能です。このため、inspectコマンドを実行するユーザーの権限内で攻撃者が任意のファイルシステムの場所に内容を書き込むことが可能になります。この問題はバージョン0.74.2で修正されました。
|
| Possible impacts |
当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 15, 2026, midnight |
| Registration Date |
April 27, 2026, 11:21 a.m. |
| Last Update |
April 27, 2026, 11:21 a.m. |
|
CVSS3.0 : 重要
|
| Score |
7.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:L |
Affected System
| lfprojects |
|
Zarf 0.23.0 以上 0.74.2 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月27日]
掲載 |
April 27, 2026, 11:21 a.m. |
NVD Vulnerability Information
CVE-2026-40090
| Summary |
Zarf is an Airgap Native Packager Manager for Kubernetes. Versions 0.23.0 through 0.74.1 contain an arbitrary file write vulnerability in the zarf package inspect sbom and zarf package inspect documentation subcommands. These subcommands output file paths are constructed by joining a user-controlled output directory with the package's Metadata.Name field read directly from the untrusted package's zarf.yaml manifest. Although Metadata.Name is validated against a regex on package creation, an attacker can unarchive a package to modify the Metadata.Name field to contain path traversal sequences such as ../../etc/cron.d/malicious or absolute paths like /home/user/.ssh/authorized_keys, along with the corresponding files inside SBOMS.tar. This allows writing attacker-controlled content to arbitrary filesystem locations within the permissions of the user running the inspect command. This issue has been fixed in version 0.74.2.
|
| Publication Date |
April 15, 2026, 1:17 p.m. |
| Registration Date |
April 17, 2026, 4:11 a.m. |
| Last Update |
April 24, 2026, 2:16 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:lfprojects:zarf:*:*:*:*:*:*:*:* |
0.23.0 |
|
|
0.74.2 |
Related information, measures and tools
Common Vulnerabilities List