Критична вразливість з вбудованим шкідливим кодом у Aquasecurity Trivy

У березні 2026 виявлено критичну вразливість у Aquasecurity Trivy, що дозволяє впровадження шкідливого коду та викрадення секретів. Рекомендовано оновлення та ротацію секретів.
CVE-2026-33634CVSS 9.4CISA KEVContainers

Критична вразливість з вбудованим шкідливим кодом у Aquasecurity Trivy

У березні 2026 виявлено критичну вразливість у Aquasecurity Trivy, що дозволяє впровадження шкідливого коду та викрадення секретів. Рекомендовано оновлення та ротацію секретів.

CVSS
9.4 CRITICAL
EPSS
99.03%
Активно використовується
так
Продукт
Trivy

Що відомо

У березні 2026 року зловмисник використав скомпрометовані облікові дані для публікації шкідливої версії Trivy v0.69.4 та змінив більшість тегів версій у репозиторіях aquasecurity/trivy-action і aquasecurity/setup-trivy на шкідливі коміти. Ця атака є продовженням ланцюгової атаки на постачання, що почалася у лютому 2026 року.

Бізнес-вплив

Вразливість дозволяє зловмисникам викрадати облікові дані та впроваджувати шкідливий код у процеси сканування безпеки, що може призвести до компрометації секретів і подальших атак на інфраструктуру. Оператори ІТ повинні негайно перевірити використання уразливих версій, видалити шкідливі артефакти та провести ротацію всіх секретів, які могли бути скомпрометовані.

Рекомендовані дії адміністратора

Перевірте, чи використовувалися версії Trivy v0.69.4, trivy-action від 0.0.1 до 0.34.2 та setup-trivy від 0.2.0 до 0.2.6. Негайно видаліть скомпрометовані версії, замініть їх на безпечні (Trivy 0.69.2 або 0.69.3, trivy-action 0.35.0, setup-trivy 0.2.6 з безпечним комітом). Проведіть ротацію всіх секретів, що могли бути викрадені, перевірте логи робочих процесів за 19-20 березня 2026 року на ознаки компрометації, уникайте використання змінних тегів версій, замість цього фіксуйте GitHub Actions на незмінні SHA-хеші комітів.

Джерела