В Банке данных угроз (BDU) зарегистрирована новая критическая уязвимость, затрагивающая популярный сканер безопасности контейнеров и зависимостей Trivy. Идентифицированная как BDU:2026-03951 и CVE-2026-33634, проблема связана с наличием встроенного вредоносного кода (CWE-506) в самом инструменте, что ставит под угрозу целостность процессов безопасной разработки (DevSecOps). Производитель ПО, компания Aqua Security, подтвердил факт уязвимости и выпустил обновления.
Детали уязвимости
Уязвимость классифицируется как архитектурная и затрагивает несколько компонентов экосистемы Trivy. В список уязвимого ПО входят утилита командной строки "Trivy" версии 0.69.4, инструмент для GitHub Actions "trivy-action" версий до 0.35.0 и установочный скрипт "setup-trivy" версий до 0.2.6. Кроме того, уязвимость была обнаружена в версиях 1.82.7 и 1.82.8 библиотеки LiteLLM, которая используется для разработки систем искусственного интеллекта. Важно отметить, что атака может быть осуществлена удаленно, что значительно расширяет потенциальную зону поражения.
Уровень опасности уязвимости оценивается как критический. Базовые оценки CVSS достигают максимальных значений: 9.0 по версии 2.0 и 9.9 по версии 3.1. Оценка по более новой методологии CVSS 4.0 составляет 9.4. Такие высокие баллы присваиваются из-за комплексного воздействия уязвимости. В частности, злоумышленник с низким уровнем привилегий (PR:L) может, не взаимодействуя с пользователем (UI:N), получить полный контроль над конфиденциальностью (конфиденциальность C:H), целостностью (I:H) и доступностью (A:H) данных. Более того, уязвимость оказывает воздействие на компоненты, выходящие за пределы зоны безопасности атакуемой системы (S:C).
Эксплуатация уязвимости, согласно описанию, основана на злоупотреблении функционалом. По сути, вредоносный код, встроенный в легитимное программное обеспечение для защиты, может выполнять несанкционированные действия. В результате злоумышленник может получить доступ к защищаемой информации, которую сканирует Trivy, включая секреты, ключи и конфигурационные файлы. Эксплойт для данной уязвимости уже существует в открытом доступе, что повышает актуальность немедленного принятия мер.
Для устранения угрозы производитель рекомендует обновить уязвимые компоненты до актуальных версий. Актуальная информация и ссылки на исправленные сборки опубликованы в официальном обсуждении на GitHub. В связи с текущей геополитической обстановкой в бюллетене BDU отдельно отмечено, что установку обновлений из зарубежных источников следует проводить после тщательной оценки всех сопутствующих рисков.
Данный инцидент наглядно демонстрирует парадоксальную, но растущую тенденцию: инструменты безопасности сами становятся целью для атак и вектором для компрометации. Уязвимость в сканере, который предназначен для поиска проблем в других продуктах, подрывает базовое доверие к цепочке поставок программного обеспечения. Следовательно, организациям требуется не только оперативно применять патчи, но и пересматривать свои подходы к обеспечению безопасности DevOps-инфраструктуры, уделяя особое внимание проверке самих средств защиты.
Ссылки
- https://bdu.fstec.ru/vul/2026-03951
- https://www.cve.org/CVERecord?id=CVE-2026-33634
- https://github.com/aquasecurity/trivy/security/advisories/GHSA-69fq-xp46-6x23
- https://github.com/aquasecurity/trivy/discussions/10425
