Helm依存関係更新の脆弱性:細工されたChart.yamlがローカルコード実行につながる可能性
2025-07-09
Helmにおける脆弱性により、細工されたChart.yamlファイルとシンボリックリンクされたChart.lockファイルを使用して、依存関係の更新時にローカルコードを実行できる可能性があります。Chart.yamlのフィールドは、更新時にChart.lockに書き込まれます。Chart.lockが実行可能ファイル(例:bash.rc)へのシンボリックリンクである場合、依存関係の更新によってChart.lockの内容がシンボリックリンクされたファイルに書き込まれ、任意のコードが実行されます。Helm v3.18.4でこの問題が修正されています。アップデートを行い、シンボリックリンクされたChart.lockファイルがないか確認してください。
開発
ローカルコード実行