Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en aquasecurity (CVE-2026-33634)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/03/2026
Última modificación:
24/03/2026

Descripción

Trivy es un escáner de seguridad. El 19 de marzo de 2026, un actor de amenaza utilizó credenciales comprometidas para publicar una versión maliciosa de Trivy v0.69.4, forzar el envío de 76 de 77 etiquetas de versión en `aquasecurity/trivy-action` a malware de robo de credenciales, y reemplazar las 7 etiquetas en `aquasecurity/setup-trivy` con commits maliciosos. Este incidente es una continuación del ataque a la cadena de suministro que comenzó a finales de febrero de 2026. Tras la divulgación inicial el 1 de marzo, se realizó la rotación de credenciales pero no fue atómica (no todas las credenciales fueron revocadas simultáneamente). El atacante podría haber utilizado un token válido para exfiltrar secretos recién rotados durante la ventana de rotación (que duró unos pocos días). Esto podría haber permitido al atacante retener el acceso y ejecutar el ataque del 19 de marzo. Los componentes afectados incluyen la imagen Go / contenedor `aquasecurity/trivy` versión 0.69.4, las versiones 0.0.1 – 0.34.2 (76/77) de la GitHub Action `aquasecurity/trivy-action`, y las versiones 0.2.0 – 0.2.6 de la GitHub Action `aquasecurity/setup-trivy`, antes de la recreación de la 0.2.6 con un commit seguro. Las versiones seguras conocidas incluyen las versiones 0.69.2 y 0.69.3 del binario de Trivy, la versión 0.35.0 de trivy-action, y la versión 0.2.6 de setup-trivy. Además, tome otras mitigaciones para asegurar la seguridad de los secretos. Si existe alguna posibilidad de que una versión comprometida se haya ejecutado en el entorno de uno, todos los secretos accesibles a las pipelines afectadas deben ser tratados como expuestos y rotados inmediatamente. Verifique si la organización de uno extrajo o ejecutó Trivy v0.69.4 de cualquier fuente. Elimine cualquier artefacto afectado inmediatamente. Revise todos los flujos de trabajo que utilizan `aquasecurity/trivy-action` o `aquasecurity/setup-trivy`. Aquellos que referenciaron una etiqueta de versión en lugar de un SHA de commit completo deben revisar los registros de ejecución del flujo de trabajo del 19 al 20 de marzo de 2026 en busca de signos de compromiso. Busque repositorios llamados `tpcp-docs` en la organización de GitHub de uno. La presencia de dicho repositorio puede indicar que el mecanismo de exfiltración de respaldo se activó y los secretos fueron robados con éxito. Fije las GitHub Actions a hashes SHA de commit completos e inmutables, no use etiquetas de versión mutables.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.40 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0
9.40
Gravedad 4.0
CRÍTICA

Referencias a soluciones, herramientas e información