Helm 依赖更新漏洞:精心设计的 Chart.yaml 文件可能导致本地代码执行
2025-07-09
近日,Helm 项目发现了一个安全漏洞:攻击者可以通过精心构造的 Chart.yaml 文件和符号链接的 Chart.lock 文件,在更新依赖项时执行本地代码。当更新依赖项时,Chart.yaml 文件中的字段会被写入 Chart.lock 文件。如果 Chart.lock 文件被符号链接到可执行文件(例如 bash.rc 文件或 shell 脚本),更新依赖项将会把 Chart.lock 文件的内容写入符号链接的文件,从而导致恶意代码执行。Helm v3.18.4 已修复此漏洞,建议用户升级至最新版本,并检查 Chart.lock 文件是否为符号链接。
开发
本地代码执行