V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
anchore_overrides,nvd

Chainguard

Уязвимости
20
Эксплуатируемые
0
Критический
0
Высокий
10

Топ продуктов

Топ уязвимостей

CVE-2026-24844melange позволяет пользователям создавать пакеты apk с использованием декларативных трубопроводов. От версии 0.3.0 до 0.40.3 злоумышленник, который может обеспечивать входные значения сборки, но не изменять определения трубопровода, может выполнять произвольные команды оболочки, если трубопровод использует ${vars.*}} или ${{inputs.*}} замены в рабочем направлении. Поле встроено в скрипты оболочки без надлежащей побега цитаты. Эта проблема была исправлена в версии 0.40.3.
CVE-2026-24843melange позволяет пользователям создавать пакеты apk с использованием декларативных трубопроводов. В версии 0.11.3 до 0.40.3 злоумышленник, который может влиять на поток дегтя из QEMU Guest VM, мог писать файлы за пределами предполагаемого каталога рабочего пространства на хоста. Функция retrieveWorkspace извлекает записи смолы, не подтвердявая, что пути остаются в рабочем пространстве, позволяя проходить путь через ../ последовательности. Эта проблема была исправлена в версии 0.40.3.
CVE-2026-28406канико - это инструмент для создания изображений контейнеров из Dockerfile, внутри контейнера или кластера Kubernetes. Начиная с версии 1.25.4 и до версии 1.25.10, kaniko распаковывает контекстные архивы, используя `filepath.Join(dest, cleanedName)` без принуждения к тому, чтобы последний путь оставался в пределах `dest`. Запись смолы, такая как `.../outside.txt` избегает корня извлечения и записывает файлы за пределами каталога назначения. В средах с аутентификацией реестра это может быть приковано с помощью помощников докера для достижения выполнения кода в процессе выполнения. Версия 1.25.10 использует безопасную сцепление для разрешения пути при извлечении смолы.
CVE-2026-25143Меланж позволяет пользователям создавать пакеты apk с использованием декларативных трубопроводов. От версии 0.10.0 до 0.40.3 злоумышленник, который может влиять на входы в трубопровод патча, может выполнять произвольные команды оболочки на хосте сборки. Трубопровод патча в pkg/build/pipelines/patch.yaml встраивает значения входного кода (треки серии, имена файлов патчей и числовые параметры) в сценарии оболочки без надлежащего цитирования или проверки, что позволяет метахарактерам оболочки вырываться из предполагаемого контекста. Уязвимость влияет на встроенный патч-тело, который можно вызвать с помощью меланж-сборки и меланж-проверки лицензии. Злоумышленник, который может управлять входами, связанными с патчем (например, через CI, управляемый pull request, build-as-a-service или путем воздействия на конфигурации меланжа), может вводить метахарактеры оболочки, такие как обратные галочки, командные замены $ (...), точки с запятой, точки с запятой, трубы или перенаправления для выполнения произвольных команд с привилегиями процесса сборки меланжа. Этот вопрос был исправлен в версии 0.40.3.
CVE-2026-42575apko позволяет пользователям создавать и публиковать изображения контейнеров OCI, созданные из пакетов Apk. До версии 1.2.7 apko проверяет подпись на APKINDEX.tar.gz, но никогда не сравнивает индивидуально загруженные пакеты .apk с контрольной кассой, записанной в подписанном индексе. Контрольная сумму анализируется и доступна через ChecksumString(), а загруженный хэш управления пакетом вычислен, но два значения никогда не сравниваются в getPackageImpl(). Несоответствующие пакеты молча принимаются. Злоумышленник, который может заменить ответы на скачивание (скомпрометированное зеркало, HTTP-хранилище, отравленный кэш CDN), может установить произвольные пакеты в встроенные изображения. Эта проблема была исправлена в версии 1.2.7.
CVE-2026-42574apko позволяет пользователям создавать и публиковать изображения контейнеров OCI, созданные из пакетов Apk. От версии 0.14.8 до версии 1.2.5, созданный .apk может установить ввод смолы TypeSymlink, цель которого заостряла вне корня сборки, и последующая запись создания каталога или записи файла в том же или более позднем архиве могут пересекать эту символику, чтобы достичь пути хоста, на которые может написать пользователь сборки. Этот вопрос был исправлен в версии 1.2.5.
CVE-2026-25140apko позволяет пользователям создавать и публиковать изображения контейнеров OCI, построенные из пакетов Apk. От версии 0.14.8 до 1.1.1 злоумышленник, который контролирует или компрометирует хранилище APK, используемое Apko, может вызвать истощение ресурсов на хосте сборки. Функция ExpandApk в pkg/apk/expandapk/expandapk.go расширяет потоки .apk без обеспечения пределов декомпрессии, позволяя вредоносному хранилищу обслуживать небольшой, высоко сжатый .apk, который надувается в большой поток дегтя, потребляя чрезмерное пространство диска и время процессора, вызывая сбои в сборке или отказ в обслуживании. Эта проблема была исправлена в версии 1.1.1.
CVE-2026-25121apko позволяет пользователям создавать и публиковать изображения контейнеров OCI, построенные из пакетов Apk. От версии 0.14.8 до 1.1.1 в абстракции файловой системы apko drFS была обнаружена уязвимость проходного пути. Злоумышленник, который может предоставить вредоносный пакет APK (например, через скомпрометированный или опечатавшийся репозиторий), может создавать каталоги или симуляционные ссылки за пределами предполагаемого корня установки. Методы MkdirAll, Mkdir и Symlink в pkg/apk/fs/rwosfs.go используют filepath.Join(), не подтвердив, что полученный путь остается в базовом каталоге. Эта проблема была исправлена в версии 1.1.1.
CVE-2024-36127apko — это сборщик образов OCI на основе apk. apko предоставляет учетные данные HTTP basic auth из URL-адресов репозитория и связки ключей в выходных данных журнала. Эта уязвимость исправлена в версии v0.14.5.
CVE-2025-53945Утилита apko позволяет пользователям собирать и публиковать образы контейнеров OCI, созданные из пакетов apk. В версиях от 0.27.0 до 0.29.5 критические файлы были непреднамеренно установлены с правами 0666, что могло быть использовано для эскалации прав root. В версии 0.29.5 исправлена эта проблема [1]. Источники: - [1] https://github.com/chainguard-dev/apko/security/advisories/GHSA-x6ph-r535-3vjw
CVE-2026-28407Недостаток - это программное обеспечение для обнаружения компромиссов в цепочке поставок через контекст, дифференциальный анализ и YARA. До версии 1.21.0 недовольство удаляло вложенные архивы, которые не смогли извлечь, что потенциально может оставить вредоносный контент. Лучший подход заключается в сохранении этих архивов, чтобы неправомерное содержание могло попытаться наилучшим образом сканировать байты архива. Версия 1.21.0 исправляет проблему.
CVE-2026-42576apko позволяет пользователям создавать и публиковать изображения контейнеров OCI, созданные из пакетов Apk. До версии 1.2.7, DiscoverKeys в pkg/apk/apk/implementation.go безоговорочно type-asserts JWKS-клавиши как *rsa.PublicKey без проверки типа клавиш. Если конечная точка хранилища JWKS возвращает ключ, не относившийся к SRSA (например, EC), неконтролируемое утверждение паникует и падает apko. Это влияет на любой рабочий процесс, который инициализирует базу данных APK и получает ключи хранилища. Эта проблема была исправлена в версии 1.2.7.
CVE-2026-24845Недовольство обнаруживает компромиссы в цепочке поставок через контекст, дифференциальный анализ и YARA. Начиная с версии 0.10.0 и до версии 1.20.3, недовольный может быть сделан для выявления учетных данных реестра Docker, если он сканирует специально созданную ссылку на изображение OCI. malcontent использует google/go-containterregistry для съемки OCI, которая по умолчанию использует брелок Docker. Вредоносный реестр может вернуть заголовок «WWW-Authenticate», перенаправляющую аутентификацию токенов, на конечную точку, контролируемую злоумышленником, в результате чего учетные данные будут отправлены на эту конечную точку. Версия 1.20.3 исправляет проблему, по умолчанию анонимно аут для OCI pulls.
CVE-2026-29050melange позволяет пользователям создавать пакеты apk с использованием декларативных трубопроводов. Начиная с версии 0.32.0 и до версии 0.43.4, злоумышленник, который может влиять на файл конфигурации меланжа — например, через сценарии CI, управляемый pull-запросом или построение как услуга — может установить «типильное использование] на значение, содержащее `.../` последовательности или абсолютный путь. `(*Compiled).compilePipeline` в `pkg/build/compile.go` прошел `uses` непосредственно'line''line`'pilet's in `pkg/build/compile.go`'s "(PiletlineDir, использует + ".yaml")', не валидируя значение, поэтому решенный путь мог избежать каждого `--pipeline-dir` и читать произвольный JAML-parseable file, видимый для процесса меланж. Поскольку загруженный файл впоследствии интерпретируется как трубопровод меланжа, и его `runs:` блок выполняется через `/bin/sh -c` в песочнице сборки, это дополнительно позволяло выполнять команды оболочки, полученные из файла, недоступного для работы во время сборки, минуя границу обзора, которая обычно охватывает определение трубопровода в дереве. Проблема исправлена в меланже v0.43.4 через commit 5829ca4. Исправление отвергает значения «используют», которые являются абсолютными путями или содержат «..» и проверяет (через «филейпат.Рел» после «фильтра». В качестве обходного пути запускайте только «melange build`» против конфигурационных файлов из надежных источников. В системах CI, которые создают пользовательские конфигурации меланжа, ворота строят за ручным обзором значений «pipeline[].]s` и отвергают любые, содержащие `...` или ведущие `/`.
CVE-2026-25145melange позволяет пользователям создавать пакеты apk с использованием декларативных трубопроводов. От версии 0.14.0 до 0.40.3 злоумышленник, который может влиять на файл конфигурации меланжа (например, через сценарии CI, управляемый запросом на вытягивание или сборка как услуга), может читать произвольные файлы из системы хоста. Функция LicensingInfos в pkg/config/config.go считывает лицензионные файлы, указанные в авторском праве[]. лицензионный путь, не подтверждая, что пути остаются в каталоге рабочего пространства, что позволяет проходить путь через ../ последовательности. Содержимое пройденного файла встроено в сгенерированный SBOM в виде текста лицензии, что позволяет эксфильтровать конфиденциальные данные с помощью артефактов сборки. Эта проблема была исправлена в версии 0.40.3.
CVE-2026-25122apko позволяет пользователям создавать и публиковать изображения контейнеров OCI, построенные из пакетов Apk. От версии 0.14.8 до 1.1.0, expandapk.Split истощает первый gzip поток архива APK через io.Copy(io.Discard, gzi) без явных границ. При управляемом злоумышленником входном потоке это может привести к работе с большой инфляцией gzip и привести к истощению ресурсов (влияние доступности). Функция Split считывает первый заголовок дегтя, а затем истощает оставшуюся часть потока gzip, читая с помощью считывателя gzip напрямую без какого-либо максимального несжатого предела байта или колпачка коэффициента надувания. Звонящий, который анализирует контролируемые злоумышленниками потоки APK, может быть вынужден тратить чрезмерное время на CPU, надувая данные gzip, что приводит к тайм-аутам или замедлению процесса. Эта проблема была исправлена в версии 1.1.0.
CVE-2026-24846Недовольство обнаруживает компромиссы в цепочке поставок через контекст, дифференциальный анализ и YARA. Начиная с версии 1.8.0 и до версии 1.20.3, некачественное содержание может быть сделано для создания симбилин за пределами предполагаемого каталога извлечения при сканировании специально созданного архива дегтя или деб. Функция «ручкаSymlink» получила аргументы в неправильном порядке, в результате чего цель символической связи использовалась в качестве местоположения символической связи. Кроме того, цели символов связи не были проверены, чтобы гарантировать, что они решены в каталоге извлечения. Версия 1.20.3 вводит исправления, которые заменяют аргументы ручкиSymlink, проверяют местоположение символической связи и проверяют цели симплинсининга, которые решаются в каталоге извлечения.
CVE-2025-54059melange позволяет пользователям создавать пакеты apk с помощью декларативных конвейеров. В версиях от 0.23.0 до 0.29.5 файлы SBOM, созданные melange в apks, имели права доступа 666. Это потенциально позволяет непривилегированному пользователю изменять SBOM apk на работающем образе, что может запутать сканеры безопасности. Злоумышленник также может выполнить DoS при определенных обстоятельствах. Версия 0.29.5 исправляет эту проблему [1]. Источники: - [1] https://github.com/chainguard-dev/melange/security/advisories/GHSA-5662-cv6m-63wh - [2] https://github.com/chainguard-dev/melange/pull/1836 - [3] https://github.com/chainguard-dev/melange/pull/2086 - [4] https://github.com/chainguard-dev/melange/commit/1b272db2a0bb3441553284cc56d87236b4b64c04 - [5] https://github.com/chainguard-dev/melange/commit/e29494b4a40a91619ec1c87a09003c6d5164cea1
CVE-2026-29049melange позволяет пользователям создавать пакеты apk с использованием декларативных трубопроводов. В версии 0.40.5 и ранее, melange update-кэш загружает URI из конфигураций сборки через io.Copy без какого-либо ограничения размера или HTTP-клиента (pkg/renovate/cache/cache.go). URI, контролируемый злоумышленником в конфигурации меланжа, может вызвать неграниченный диск, изнуряющий диск на строительной строчке. Не существует известного патча в открытом доступе.
CVE-2026-29051melange позволяет пользователям создавать пакеты apk с использованием декларативных трубопроводов. Начиная с версии 0.32.0 и до версии 0.43.4, «melange lint-resut-results` (флаг выбора, также используемый через «melange build-tresults-) создает пути вывода файлов, соединяя `--out-dir` с `arching-ind` читаемыми из «P.PKGINFOD» контрольного файла APK. В затронутых версиях эти значения не были подтверждены для сепараторов пути или `..., поэтому злоумышленник, который может поставлять APK на конвейер меланж/строитель (например, CI, который вымывает сторонние APK или сборку как услугу) может привести к тому, что меланж напишет `lint-<pkgname>-<pkgver>-r<epoch>.json` путь, до которого достижимый процесс меланжа. Письменный файл представляет собой отчет JSON Lint, содержание которого частично подвержен влиянию злоумышленника. Прямого пути исполнения кода нет, но запись может разбить другие артефакты JSON в файловой системе. Проблема затрагивает только развертывание, которое явно проходит `--предержащий-lint-results`; флаг выключен по умолчанию. Эта проблема фиксируется в melange v0.43.4 путем проверки `arch` и `pkgname` для `...`, `..`, и `filepath.Separator` до строительства пути в `pkg/linter/results.go` (commit 84f3b45). В качестве обходного пути не проходите `--преимуществ-lint-results` при подкладке или создании АПК, чьему `.PKGINFO` содержимому не доверяют полностью. Запуск меланжа в качестве низкопривилегированного пользователя и ограничение записи в изолированном каталоге также ограничивают влияние.
Открыть в каталоге с фильтром по вендору →