Kritische Pfadtraversal-Lücke in Zarf Kubernetes-Paket-Manager (CVE-2026-29064)
⚠️ CVE-Referenzen:
CVE-2026-29064
Zusammenfassung
Die Kubernetes-Paket-Management-Software Zarf wies zwischen den Versionen 0.54.0 und 0.73.0 eine kritische Schwachstelle auf, die es Angreifern ermöglichte, Symlinks außerhalb des Zielverzeichnisses zu erstellen und somit willkürliches Lesen oder Schreiben von Dateien auf dem System zu erreichen. Der Patch in Version 0.73.1 behebt dieses Problem.
Zarf is an Airgap Native Packager Manager for Kubernetes. From version 0.54.0 to before version 0.73.1, a path traversal vulnerability in archive extraction allows a specifically crafted Zarf package to create symlinks pointing outside the destination directory, enabling arbitrary file read or write on the system processing the package. This issue has been patched in version 0.73.1.
Quelle: app.opencve.io