ГлавнаяБаза уязвимостей БДУ → BDU:2026-03951
9критическая

BDU:2026-03951

Уязвимость сканера уязвимостей Trivy, связанная с наличием опасных недекларированных возможностей, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2026-03-26
Описание

Уязвимость сканера уязвимостей Trivy связана с наличием опасных недекларированных возможностей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
setup-trivy (до 0.2.6)trivy-action (до 0.35.0)Trivy (0.69.4)LiteLLM (1.82.7)LiteLLM (1.82.8)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение механизма автоматического обновления уязвимого программного обеспечения;
- верификация файлов обновления программного обеспечения (с использованием методического документа "Методика тестирования обновлений безопасности программных, программно-аппаратных средств" (утвержден 28 октября 2022 года));
- использование средств антивирусной защиты с реализацией механизма поведенческого анализа для выявления вредоносных конструкций в уязвимом программном обеспечении;
- использование средств контроля целостности для предотвращения и обнаружения попыток эксплуатации уязвимости;
- использование SIEM-систем для отслеживания событий, связанных с обращением к следующим доменам: scan.aquasecurtiy.org, checkmarx.zone и models.litellm.cloud;
- отслеживание списка доступных репозиториев для корпоративного сегмента GitHub на предмет появления репозитория с именем docs-tpcp;
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий;
- ограничение доступа из внешних сетей (Интернет);
- внедрение процессов безопасной разработки в соответствии с ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Использование рекомендаций:
https://github.com/aquasecurity/trivy/discussions/10425

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
https://github.com/aquasecurity/trivy/security/advisories/GHSA-69fq-xp46-6x23https://github.com/aquasecurity/trivy/discussions/10425
Проверьте безопасность своего сайта и почты → Полная проверка домена