CVE-2023-26054

Credentials inlined to Git URLs could end up in provenance attestation in BuildKit

Severity Score

6.5

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

*SSVC

Descriptions

BuildKit is a toolkit for converting source code to build artifacts in an efficient, expressive and repeatable manner. In affected versions when the user sends a build request that contains a Git URL that contains credentials and the build creates a provenance attestation describing that build, these credentials could be visible from the provenance attestation. Git URL can be passed in two ways: 1) Invoking build directly from a URL with credentials. 2) If the client sends additional version control system (VCS) info hint parameters on builds from a local source. Usually, that would mean reading the origin URL from `.git/config` file. When a build is performed under specific conditions where credentials were passed to BuildKit they may be visible to everyone who has access to provenance attestation. Provenance attestations and VCS info hints were added in version v0.11.0. Previous versions are not vulnerable. In v0.10, when building directly from Git URL, the same URL could be visible in `BuildInfo` structure that is a predecessor of Provenance attestations. Previous versions are not vulnerable. This bug has been fixed in v0.11.4. Users are advised to upgrade. Users unable to upgrade may disable VCS info hints by setting `BUILDX_GIT_INFO=0`. `buildctl` does not set VCS hints based on `.git` directory, and values would need to be passed manually with `--opt`.

BuildKit es un conjunto de herramientas para convertir código fuente para crear artefactos de manera eficiente, expresiva y repetible. En las versiones afectadas, cuando el usuario envía una solicitud de compilación que contiene una URL de Git que contiene credenciales y la compilación crea una atestación de procedencia que describe esa compilación, estas credenciales podrían ser visibles desde la atestación de procedencia. La URL de Git se puede pasar de dos maneras: 1) Invocando la compilación directamente desde una URL con credenciales. 2) Si el cliente envía parámetros de sugerencias de información del sistema de control de versiones (VCS) adicionales en compilaciones desde una fuente local. Por lo general, eso significaría leer la URL de origen del archivo `.git/config`. Cuando se realiza una compilación en condiciones específicas en las que se pasaron credenciales a BuildKit, es posible que sean visibles para todos los que tengan acceso a la certificación de procedencia. En la versión v0.11.0 se agregaron certificaciones de procedencia y sugerencias de información de VCS. Las versiones anteriores no son vulnerables. En la versión 0.10, al compilar directamente desde la URL de Git, la misma URL podría ser visible en la estructura `BuildInfo` que es una predecesora de las certificaciones de procedencia. Las versiones anteriores no son vulnerables. Este error se ha solucionado en v0.11.4. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden desactivar las sugerencias de información de VCS configurando `BUILDX_GIT_INFO=0`. `buildctl` no establece sugerencias de VCS basadas en el directorio `.git` y los valores deberían pasarse manualmente con `--opt`.

A flaw was found in the moby buildkit. When a build is performed under specific conditions where credentials were passed to BuildKit, it may be visible to everyone with access to provenance attestation.

*Credits: N/A

CVSS Scores

NISTv3.1 6.5

Attack Vector

Network

Attack Complexity

Low

Privileges Required

None

User Interaction

Required

Scope

Unchanged

Confidentiality

High

Integrity

None

Availability

None

* Common Vulnerability Scoring System

SSVC

Decision:-

Exploitation

Automatable

Tech. Impact

* Organization's Worst-case Scenario

Timeline

2023-02-17 CVE Reserved
2023-03-06 CVE Published
2024-08-02 CVE Updated
2024-08-02 First Exploit
2024-09-26 EPSS Updated
---------- Exploited in Wild
---------- KEV Due Date

CWE

CWE-200: Exposure of Sensitive Information to an Unauthorized Actor

CAPEC

References (7)

URL	Tag	Source
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LYZOKMMVX4SIEHPJW3SJUQGMO5YZCPHC
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XNF4OLYZRQE75EB5TW5N42FSXHBXGWFE
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZTE4ITXXPIWZEQ4HYQCB6N6GZIMWXDAI

URL	Date	SRC
https://github.com/moby/buildkit/security/advisories/GHSA-gc89-7gcr-jxqc	2024-08-02

URL	Date	SRC
https://github.com/moby/buildkit/commit/75123c696506bdbca1ed69906479e200f1b62604	2023-09-15

URL	Date	SRC
https://access.redhat.com/security/cve/CVE-2023-26054	2023-10-19
https://bugzilla.redhat.com/show_bug.cgi?id=2176447	2023-10-19

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Mobyproject Search vendor "Mobyproject"		Buildkit Search vendor "Mobyproject" for product "Buildkit"				>= 0.10.0 < 0.11.4 Search vendor "Mobyproject" for product "Buildkit" and version " >= 0.10.0 < 0.11.4"		-		Affected