CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2026-33634

Atak supply chain na Trivy — złośliwe tagi GitHub Actions i obraz kontenera

CVSS 9.4v4.0pub. 2026-03-23upd. 2026-03-30

19 marca 2026 r. atakujący, używając skradzionych danych uwierzytelniających, opublikował złośliwą wersję Trivy v0.69.4 oraz podmienił dziesiątki tagów wersji w repozytoriach `aquasecurity/trivy-action` i `aquasecurity/setup-trivy` na malware kradnący poświadczenia. Jest to kontynuacja ataku na łańcuch dostaw zapoczątkowanego pod koniec lutego 2026 r., co czyni go wyjątkowo niebezpiecznym dla organizacji korzystających z Trivy w potokach CI/CD.

Pokaż oryginał (EN)

Trivy is a security scanner. On March 19, 2026, a threat actor used compromised credentials to publish a malicious Trivy v0.69.4 release, force-push 76 of 77 version tags in `aquasecurity/trivy-action` to credential-stealing malware, and replace all 7 tags in `aquasecurity/setup-trivy` with malicious commits. This incident is a continuation of the supply chain attack that began in late February 2026. Following the initial disclosure on March 1, credential rotation was performed but was not atomic (not all credentials were revoked simultaneously). The attacker could have use a valid token to exfiltrate newly rotated secrets during the rotation window (which lasted a few days). This could have allowed the attacker to retain access and execute the March 19 attack. Affected components include the `aquasecurity/trivy` Go / Container image version 0.69.4, the `aquasecurity/trivy-action` GitHub Action versions 0.0.1 – 0.34.2 (76/77), and the`aquasecurity/setup-trivy` GitHub Action versions 0.2.0 – 0.2.6, prior to the recreation of 0.2.6 with a safe commit. Known safe versions include versions 0.69.2 and 0.69.3 of the Trivy binary, version 0.35.0 of trivy-action, and version 0.2.6 of setup-trivy. Additionally, take other mitigations to ensure the safety of secrets. If there is any possibility that a compromised version ran in one's environment, all secrets accessible to affected pipelines must be treated as exposed and rotated immediately. Check whether one's organization pulled or executed Trivy v0.69.4 from any source. Remove any affected artifacts immediately. Review all workflows using `aquasecurity/trivy-action` or `aquasecurity/setup-trivy`. Those who referenced a version tag rather than a full commit SHA should check workflow run logs from March 19–20, 2026 for signs of compromise. Look for repositories named `tpcp-docs` in one's GitHub organization. The presence of such a repository may indicate that the fallback exfiltration mechanism was triggered and secrets were successfully stolen. Pin GitHub Actions to full, immutable commit SHA hashes, don't use mutable version tags.

🤖 Analiza AI
Jak działa

Atakujący uzyskał dostęp do ważnego tokenu GitHub w oknie rotacji poświadczeń (trwającym kilka dni po pierwotnym incydencie z 1 marca 2026 r.), ponieważ rotacja nie była atomowa — nie wszystkie poświadczenia zostały unieważnione jednocześnie. Dzięki temu mógł opublikować złośliwy release Trivy v0.69.4, nadpisać 76 z 77 tagów wersji w `aquasecurity/trivy-action` (wersje 0.0.1–0.34.2) oraz zastąpić wszystkie 7 tagów w `aquasecurity/setup-trivy` (wersje 0.2.0–0.2.6) złośliwymi commitami zawierającymi malware. Złośliwy kod miał na celu eksfiltrację sekretów dostępnych w środowisku CI/CD; jako mechanizm zapasowy wykrywany jest tworzony w organizacji ofiary repozytoria o nazwie `tpcp-docs`. Podatność sklasyfikowana jako CWE-506 (Embedded Malicious Code) potwierdza, że atakujący osadził złośliwy kod bezpośrednio w legalnie wyglądających artefaktach.

Skutki

Atakujący może wykraść wszystkie sekrety (tokeny, klucze API, hasła) dostępne w potokach CI/CD korzystających z zainfekowanych komponentów, co umożliwia dalszy lateral movement w infrastrukturze organizacji oraz przejęcie kontroli nad innymi systemami i repozytoriami.

Mitygacja

Należy natychmiast zaktualizować do znanych bezpiecznych wersji: Trivy binary 0.69.2 lub 0.69.3, trivy-action 0.35.0, setup-trivy 0.2.6 (odtworzona z bezpiecznym commitem). Wszystkie sekrety dostępne w potokach, w których mogła uruchomić się zainfekowana wersja, należy traktować jako skompromitowane i natychmiast je rotować. Należy sprawdzić, czy organizacja pobierała lub uruchamiała Trivy v0.69.4 z jakiegokolwiek źródła, usunąć wszystkie dotknięte artefakty oraz przejrzeć logi workflow z 19–20 marca 2026 r. Należy poszukać repozytoriów o nazwie `tpcp-docs` w organizacji GitHub — ich obecność może świadczyć o udanej eksfiltracji sekretów. Na przyszłość: przypinać GitHub Actions do pełnych, niezmiennych hashy commitów SHA zamiast mutowalnych tagów wersji.

Kogo dotyczy

Aquasecurity Trivy w wersji 0.69.4 (obraz Go i kontener); Aquasecurity trivy-action w wersjach 0.0.1–0.34.2 (76 z 77 tagów); Aquasecurity setup-trivy w wersjach 0.2.0–0.2.6 (przed odtworzeniem bezpiecznego commitu 0.2.6). Dotknięte są również pipelines CI/CD korzystające z LiteLLM, które używały wymienionych akcji.

Uwagi

Atak jest kontynuacją incydentu supply chain z końca lutego 2026 r. Pierwotne ujawnienie miało miejsce 1 marca 2026 r., a kolejna faza ataku — 19 marca 2026 r. Nieatomowa rotacja poświadczeń po pierwszym incydencie umożliwiła atakującemu uzyskanie nowego tokenu i przeprowadzenie drugiej fazy. Incydent dotyczy również ekosystemu LiteLLM, co potwierdzają referencje do blog.litellm.ai i futuresearch.ai.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Aquasec Setup Trivy

    APP
    Aquasec
    < 0.2.6
  • Aquasec Trivy

    APP
    Aquasec
    0.69.4
  • Aquasec Trivy Action

    APP
    Aquasec
    < 0.35.0
  • Litellm

    APP
    Litellm
    1.82.71.82.8
  • Telnyx

    APP
    Telnyx
    4.87.14.87.2

CISA KEV — szczegółyi

Dostawcai
Aquasecurity
Produkti
Trivy
Data dodania do KEVi
26 marca 2026
Termin remediation (USA)i
9 kwietnia 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Aquasecurity Trivy zawiera podatność wbudowanego złośliwego kodu, która umożliwia atakującemu uzyskanie dostępu do wszystkiego w środowisku CI/CD, w tym wszystkich tokenów, kluczy SSH, poświadczeń chmurowych, haseł baz danych oraz wszelkich wrażliwych konfiguracji w pamięci.

tłumaczenie AI
Pokaż oryginał (EN)

Aquasecurity Trivy contains an embedded malicious code vulnerability that could allow an attacker to gain access to everything in the CI/CD environment, including all tokens, SSH keys, cloud credentials, database passwords, and any sensitive configuration in memory.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 9 kwietnia 2026
Tagi
CI/CDContainer
CWE
Referencje

Powiązane podatności

CVE-2026-42208CRITICAL9.3⚠ KEVPL ✓ten sam produkt

SQL Injection w LiteLLM umożliwia nieautoryzowany dostęp do bazy danych

CVE-2026-49468CRITICAL9.5PL ✓ten sam produkt

Krytyczna podatność w LiteLLM (AI Gateway) — obejście uwierzytelniania

CVE-2026-35030CRITICAL9.4PL ✓ten sam produkt

LiteLLM: pominięcie uwierzytelnienia JWT przez kolizję klucza cache (Auth Bypass)

CVE-2024-5751CRITICAL9.8PL ✓ten sam produkt

RCE w BerriAI/litellm poprzez endpoint /config/update

CVE-2024-2952CRITICAL9.8PL ✓ten sam produkt

BerriAI LiteLLM – SSTI via Jinja umożliwia RCE przez endpoint /completions