漏洞信息
尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Tekton Pipelines: Git resolver API mode leaks system-configured API token to user-controlled serverURL
Vulnerability Description
Tekton Pipelines project provides k8s-style resources for declaring CI/CD-style pipelines. From 1.0.0 to 1.10.0, the Tekton Pipelines git resolver in API mode sends the system-configured Git API token to a user-controlled serverURL when the user omits the token parameter. A tenant with TaskRun or PipelineRun create permission can exfiltrate the shared API token (GitHub PAT, GitLab token, etc.) by pointing serverURL to an attacker-controlled endpoint.
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
Vulnerability Type
通过发送数据的信息暴露
Vulnerability Title
Tekton Pipelines 安全漏洞
Vulnerability Description
Tekton Pipelines是Tekton开源的一个云原生管道。 Tekton Pipelines 1.0.0版本至1.10.0版本存在安全漏洞,该漏洞源于API模式下git解析器在用户省略令牌参数时,会将系统配置的Git API令牌发送到用户控制的服务器URL,可能导致拥有TaskRun或PipelineRun创建权限的租户通过将服务器URL指向攻击者控制的端点来窃取共享的API令牌。
CVSS Information
N/A
Vulnerability Type
N/A