製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Linux Foundationのtekton pipelinesにおけるリソースの枯渇に関する脆弱性

タイトル	Linux Foundationのtekton pipelinesにおけるリソースの枯渇に関する脆弱性
概要	Tekton Pipelines プロジェクトは、CI/CD スタイルのパイプラインを宣言するための Kubernetes スタイルのリソースを提供します。1.11.1 より前のバージョンでは、HTTP リゾルバーの FetchHttpResource 関数が、レスポンスボディのサイズ制限なしに io.ReadAll(resp.Body) を呼び出します。HTTP リゾルバーを参照する TaskRun または PipelineRun の作成権限を持つテナントは、攻撃者が制御する HTTP サーバーを指定でき、1 分のタイムアウトウィンドウ内で非常に大きなレスポンスボディを返すことが可能です。その結果、tekton-pipelines-resolvers ポッドは Kubernetes によって OOM キルされます。すべてのリゾルバータイプ（Git、Hub、Bundle、Cluster、HTTP）が同じポッドで実行されるため、このポッドのクラッシュによりクラスター全体の解決サービスが拒否されます。繰り返しの悪用は持続的なクラッシュループを引き起こします。同じ脆弱なコードパスは、非推奨となった pkg/resolution/resolver/http と現在の pkg/remoteresolution/resolver/http の両方の実装で存在します。この脆弱性は 1.11.1 で修正されています。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月21日0:00
登録日	2026年4月30日12:27
最終更新日	2026年4月30日12:27

CVSS3.0 : 警告
スコア	6.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

影響を受けるシステム

Linux Foundation

tekton pipelines 1.11.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40924	https://www.cve.org/CVERecord?id=CVE-2026-40924
National Vulnerability Database (NVD)
2	CVE-2026-40924	https://nvd.nist.gov/vuln/detail/CVE-2026-40924

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-400	https://cwe.mitre.org/data/definitions/400.html

ベンダー情報

No	名前	URL
GitHub
1	HTTP Resolver Unbounded Response Body Read Enables Denial of Service via Memory Exhaustion Advisory tektoncd/pipeline GitHub	https://github.com/tektoncd/pipeline/security/advisories/GHSA-m2cx-gpqf-qf74

その他

No	名前	URL
関連文書
1	Release Tekton Pipeline release v1.11.1 "Javanese Jocasta" tektoncd/pipeline GitHub	https://github.com/tektoncd/pipeline/releases/tag/v1.11.1

変更履歴

No	変更内容	変更日
1	[2026年04月30日] 掲載	2026年4月30日12:27

NVD脆弱性情報

CVE-2026-40924

概要	Tekton Pipelines project provides k8s-style resources for declaring CI/CD-style pipelines. Prior to 1.11.1, the HTTP resolver's FetchHttpResource function calls io.ReadAll(resp.Body) with no response body size limit. Any tenant with permission to create TaskRuns or PipelineRuns that reference the HTTP resolver can point it at an attacker-controlled HTTP server that returns a very large response body within the 1-minute timeout window, causing the tekton-pipelines-resolvers pod to be OOM-killed by Kubernetes. Because all resolver types (Git, Hub, Bundle, Cluster, HTTP) run in the same pod, crashing this pod denies resolution service to the entire cluster. Repeated exploitation causes a sustained crash loop. The same vulnerable code path is reached by both the deprecated pkg/resolution/resolver/http and the current pkg/remoteresolution/resolver/http implementations. This vulnerability is fixed in 1.11.1.
公表日	2026年4月22日6:16
登録日	2026年4月25日4:04
最終更新日	2026年4月28日3:06

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:linuxfoundation:tekton_pipelines::::::go::*					1.11.1

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/tektoncd/pipeline/releases/tag/v1.11.1	security-advisories@github.com
2	https://github.com/tektoncd/pipeline/security/advisories/GHSA-m2cx-gpqf-qf74	security-advisories@github.com
3	https://github.com/tektoncd/pipeline/security/advisories/GHSA-m2cx-gpqf-qf74	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-400	リソースの枯渇	https://cwe.mitre.org/data/definitions/400.html