Krytyczna luka w Aquasecurity Trivy umożliwiająca wprowadzenie złośliwego kodu

Atak na Trivy 0.69.4 w marcu 2026 umożliwił wprowadzenie złośliwego kodu i kradzież sekretów. Zalecane natychmiastowe działania zabezpieczające.
CVE-2026-33634CVSS 9.4CISA KEVContainers

Krytyczna luka w Aquasecurity Trivy umożliwiająca wprowadzenie złośliwego kodu

Atak na Trivy 0.69.4 w marcu 2026 umożliwił wprowadzenie złośliwego kodu i kradzież sekretów. Zalecane natychmiastowe działania zabezpieczające.

CVSS
9.4 CRITICAL
EPSS
99.03%
Aktywnie wykorzystywana
tak
Produkt
Trivy

Co wiadomo

W marcu 2026 roku doszło do ataku na łańcuch dostaw narzędzia Trivy, w wyniku którego opublikowano złośliwą wersję 0.69.4 oraz zmodyfikowano znaczniki wersji w powiązanych akcjach GitHub. Atakujący wykorzystali skradzione poświadczenia, co pozwoliło na kradzież sekretów i wprowadzenie złośliwego oprogramowania.

Wpływ biznesowy

Atak na Trivy i powiązane komponenty może skutkować wyciekiem poufnych danych i kompromitacją środowisk CI/CD korzystających z tych narzędzi. Organizacje używające wersji dotkniętych luką powinny traktować wszystkie dostępne sekrety jako narażone i natychmiast je zmienić. Niezaktualizowane lub niezweryfikowane artefakty mogą prowadzić do dalszych incydentów bezpieczeństwa.

Rekomendowane działania administratora

Zidentyfikuj i usuń wszystkie zainfekowane wersje Trivy (szczególnie 0.69.4) oraz powiązane akcje GitHub (trivy-action i setup-trivy). Zweryfikuj logi workflow z 19-20 marca 2026 pod kątem podejrzanej aktywności. Wymień wszystkie sekrety dostępne dla zagrożonych pipeline’ów. Przypnij akcje GitHub do pełnych, niezmiennych commit SHA zamiast używania tagów wersji. Przeprowadź przegląd i aktualizację poświadczeń oraz monitoruj repozytoria pod kątem nietypowych nazw, np. „tpcp-docs”.

Źródła