A critical vulnerability (CVSS 9.9) in Aqua Security Trivy can be exploited remotely to fully compromise the host system. Affected versions include Trivy 0.69.4, the `setup-trivy` action before version 0.2.6, the `trivy-action` before version 0.35.0, and container images 0.69.5 and 0.69.6. A mitigation is available, but the article does not specify a fixed version or detail the workaround.
[WID-SEC-2026-0898] Aqua Security Trivy: Schwachstelle ermöglicht vollständige Kompromittierung des Systems CVSS Base Score 9.9 (kritisch) CVSS Temporal Score 9.5 (kritisch) Remoteangriff ja Datum 29.03.2026 Stand 30.03.2026 Mitigation ja Betroffene Systeme Betriebssystem Linux MacOS X UNIX Windows Produktbeschreibung Aqua Security Trivy ist ein Open-Source-Sicherheitsscanner, der Schwachstellen in Container-Images, Dateisystemen und Git-Repositories identifiziert. Produkte 29.03.2026 Aqua Security Trivy 0.69.4 Aqua Security Trivy setup-trivy <0.2.6 Aqua Security Trivy trivy-action <0.35.0 Aqua Security Trivy Container Image 0.69.5 Aqua Security Trivy Container Image 0.69.6 Angriff Angriff Ein Angreifer kann eine Schwachstelle in Aqua Security Trivy ausnutzen, um das vollständige System zu kompromittieren. CVE Informationen Versionshistorie Feedback zum Advisory geben