CISA
美國網路安全與基礎設施安全局(CISA)近日警告,3月下旬揭露的重大漏洞CVE-2026-33634已被實際利用,未修補此弱點的Trivy掃描工具應用環境風險大增,CISA將其納入已知遭利用漏洞清單(KEV),要求各單位儘速修補。
CVE-2026-33634屬於嵌入惡意程式碼類型(Embedded Malicious Code)弱點,CVSS嚴重性等級達9.4分,源自資安公司Aqua Security維護的弱點掃描工具Trivy,在3月下旬遭遇的軟體供應鏈攻擊事件,目前已調查出是駭客組織TeamPCP發動,其手法並非修改Trivy核心程式碼,而是入侵其GitHub Actions流程,藉此散布用於竊取敏感資料的惡意軟體 。
由於Trivy廣泛使用於軟體開發專案的CI/CD流程,Google旗下的Mandiant Consulting對此發出警示,因為已有超過1,000個SaaS環境受到這個漏洞影響。 Trivy 開發單位Aqua Security已釋出修補版本,以及說明驗證安裝版本安全性的方法,用戶須立即修補,並檢驗自身安裝版本的安全性。
