Plataforma
go
Componente
chainguard.dev/melange
Corregido en
0.11.4
0.40.3
El CVE-2026-24843 describe una vulnerabilidad de ejecución remota de código (RCE) en chainguard.dev/melange, el runner de QEMU. Esta falla permite a un atacante escribir archivos fuera del directorio de trabajo previsto, lo que podría resultar en la ejecución de código arbitrario en el sistema. La vulnerabilidad afecta a las versiones anteriores a 0.40.3 y se ha publicado el 5 de febrero de 2026. Se recomienda actualizar a la versión 0.40.3 para corregir esta vulnerabilidad.
La vulnerabilidad en chainguard.dev/melange permite a un atacante, con acceso al runner de QEMU, escribir archivos en ubicaciones arbitrarias fuera del directorio de trabajo designado. Esto significa que un atacante podría, por ejemplo, sobrescribir archivos de configuración críticos del sistema, inyectar código malicioso en archivos ejecutables o incluso comprometer otros sistemas en la red si el runner tiene acceso a ellos. El impacto potencial es significativo, ya que un atacante podría obtener control total sobre el sistema afectado. La capacidad de escribir archivos fuera del directorio de trabajo elimina las protecciones de sandbox que normalmente se espera que proporcione el runner de QEMU, abriendo la puerta a una amplia gama de ataques.
El CVE-2026-24843 fue publicado el 5 de febrero de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (RCE) la convierte en un objetivo atractivo para los atacantes. La probabilidad de explotación se considera media debido a la disponibilidad de la vulnerabilidad y su potencial impacto. No se ha añadido a la lista KEV de CISA al momento de la redacción. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing Chainguard Melange for container image building or other QEMU-based workflows are at risk. This includes DevOps teams, CI/CD pipelines, and environments where Melange is integrated into automated build processes. Specifically, those relying on older versions of Melange (prior to 0.40.3) are vulnerable.
• go / supply-chain: Inspect Melange's source code for file path manipulation functions. Look for instances where user-supplied input is directly used to construct file paths without proper sanitization.
// Example: Check for direct path concatenation
if strings.Contains(filepath.Clean(userInput), "../") {
// Potential vulnerability
}• generic web: Monitor access logs for unusual file creation attempts outside the expected workspace directory. Look for patterns indicative of path traversal attacks.
# Example: grep for path traversal attempts in access logs
grep "../" /var/log/nginx/access.logdisclosure
Estado del Exploit
EPSS
0.01% (0% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para el CVE-2026-24843 es actualizar a la versión 0.40.3 de chainguard.dev/melange. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como restringir el acceso al runner de QEMU a usuarios y sistemas confiables. Además, se recomienda revisar los permisos de los archivos y directorios relacionados con el runner para asegurarse de que solo los usuarios autorizados tengan acceso de escritura. Si se sospecha de una intrusión, se debe realizar una revisión exhaustiva del sistema para identificar y eliminar cualquier archivo malicioso que pueda haber sido escrito.
Actualice melange a la versión 0.40.3 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la escritura de archivos fuera del directorio de trabajo. La actualización evitará que atacantes influyan en el flujo de datos de la máquina virtual QEMU y comprometan el sistema host.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24843 is a HIGH severity vulnerability in Chainguard Melange that allows attackers to write files outside the designated workspace, potentially leading to system compromise. It affects versions before 0.40.3.
You are affected if you are using Chainguard Melange versions prior to 0.40.3. Check your installed version and upgrade immediately if vulnerable.
Upgrade Chainguard Melange to version 0.40.3 or later. If immediate upgrade is not possible, implement stricter workspace directory permissions and input validation.
There is currently no evidence of active exploitation in the wild, but vigilance is advised due to the vulnerability's severity.
Refer to the Chainguard security advisories page for the latest information and official announcements regarding CVE-2026-24843.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.