Résumé
Le 26 mars 2026, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans Aquasecurity Trivy, un scanner de vulnérabilités très utilisé dans les pipelines CI/CD.
Référencée sous CVE-2026-33634, provient d’une version compromise v0.69.4 publiée le 19 mars 2026, qui vole tous les secrets CI/CD (tokens, SSH keys, credentials cloud, mots de passe DB).
Solutions
Il est recommandé d’utiliser uniquement les versions sûres : Trivy 0.69.2/0.69.3, trivy-action 0.35.0+, setup-trivy 0.2.6.
La faille est activement exploitée : Oui
Details techniques
Score CVSS : 8.8
EPSS : 0.07%
Systèmes affectés
- Aquasec setup-trivy versions avant 0.2.6,
- Aquasec trivy-action versions avant 0.35.0,
- Aquasec Trivy 0.69.4 for Go,
- LiteLLM 1.82.7 et 1.82.8.
Documentation
Référence :
https://github.com/advisories/GHSA-69fq-xp46-6×23
Nist Details CVE :
https://nvd.nist.gov/vuln/detail/CVE-2026-33634
CVE Details :
https://www.cvedetails.com/cve/CVE-2026-33634/
Reference CVE :
https://www.cve.org/CVERecord?id=CVE-2026-33634
CWE :
https://www.cvedetails.com/cwe-details/506/Embedded-Malicious-Code.html