製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

lfprojectsのZarfにおけるパストラバーサルの脆弱性

タイトル	lfprojectsのZarfにおけるパストラバーサルの脆弱性
概要	ZarfはKubernetes向けのエアギャップネイティブパッケージマネージャーです。バージョン0.23.0から0.74.1には、zarf package inspect sbomおよびzarf package inspect documentationサブコマンドに任意ファイル書き込みの脆弱性が存在していました。これらのサブコマンドの出力ファイルパスは、ユーザーが制御する出力ディレクトリと、信頼されていないパッケージのzarf.yamlマニフェストから直接読み取られるパッケージのMetadata.Nameフィールドを結合して構築されていました。Metadata.Nameはパッケージ作成時に正規表現で検証していますが、攻撃者はパッケージを解凍してMetadata.Nameフィールドを../../etc/cron.d/maliciousのようなパストラバーサルシーケンスや、/home/user/.ssh/authorized_keysのような絶対パスを含むように変更できます。SBOMS.tar内の対応ファイルも同様に変更可能です。このため、inspectコマンドを実行するユーザーの権限内で攻撃者が任意のファイルシステムの場所に内容を書き込むことが可能になります。この問題はバージョン0.74.2で修正されました。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアの一部が停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月15日0:00
登録日	2026年4月27日11:21
最終更新日	2026年4月27日11:21

CVSS3.0 : 重要
スコア	7.1
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:L

影響を受けるシステム

lfprojects

Zarf 0.23.0 以上 0.74.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40090	https://www.cve.org/CVERecord?id=CVE-2026-40090
National Vulnerability Database (NVD)
2	CVE-2026-40090	https://nvd.nist.gov/vuln/detail/CVE-2026-40090

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	名前	URL
GitHub
1	Path Traversal via Malicious Package Metadata.Name — Arbitrary File Write Advisory zarf-dev/zarf GitHub	https://github.com/zarf-dev/zarf/security/advisories/GHSA-pj97-4p9w-gx3q

その他

No	名前	URL
関連文書
1	fix: sanitize inspect output path by AustinAbro321 Pull Request #4793 zarf-dev/zarf GitHub	https://github.com/zarf-dev/zarf/pull/4793

変更履歴

No	変更内容	変更日
1	[2026年04月27日] 掲載	2026年4月27日11:21

NVD脆弱性情報

CVE-2026-40090

概要	Zarf is an Airgap Native Packager Manager for Kubernetes. Versions 0.23.0 through 0.74.1 contain an arbitrary file write vulnerability in the zarf package inspect sbom and zarf package inspect documentation subcommands. These subcommands output file paths are constructed by joining a user-controlled output directory with the package's Metadata.Name field read directly from the untrusted package's zarf.yaml manifest. Although Metadata.Name is validated against a regex on package creation, an attacker can unarchive a package to modify the Metadata.Name field to contain path traversal sequences such as ../../etc/cron.d/malicious or absolute paths like /home/user/.ssh/authorized_keys, along with the corresponding files inside SBOMS.tar. This allows writing attacker-controlled content to arbitrary filesystem locations within the permissions of the user running the inspect command. This issue has been fixed in version 0.74.2.
公表日	2026年4月15日13:17
登録日	2026年4月17日4:11
最終更新日	2026年4月24日2:16

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:lfprojects:zarf::::::::		0.23.0			0.74.2

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/zarf-dev/zarf/pull/4793	security-advisories@github.com
2	https://github.com/zarf-dev/zarf/security/advisories/GHSA-pj97-4p9w-gx3q	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html