Plataforma
go
Componente
chainguard.dev/apko
Corregido en
0.14.9
1.1.0
Se ha descubierto una vulnerabilidad de Path Traversal en la abstracción de sistema de archivos dirFS de chainguard.dev/apko. Un atacante, al proporcionar un paquete APK malicioso, podría crear directorios o enlaces simbólicos fuera del directorio de instalación previsto. Esta vulnerabilidad afecta a versiones anteriores a 1.1.0 y se ha solucionado con el commit d8b7887.
La vulnerabilidad de Path Traversal en apko permite a un atacante, a través de un paquete APK malicioso (posiblemente proveniente de un repositorio comprometido o con errores tipográficos), manipular el sistema de archivos. Esto podría resultar en la creación de directorios o enlaces simbólicos fuera del directorio de instalación esperado. Un atacante podría, por ejemplo, sobrescribir archivos de configuración críticos del sistema o incluso ejecutar código arbitrario si el sistema permite la ejecución de archivos APK en ubicaciones inesperadas. El impacto potencial es significativo, pudiendo comprometer la integridad y confidencialidad del sistema.
Esta vulnerabilidad se publicó el 2026-02-03. No se ha añadido a KEV ni se conoce la puntuación EPSS. No se han reportado públicamente pruebas de concepto (PoC) activas ni campañas de explotación en curso. Se recomienda monitorear las fuentes de información de seguridad para detectar cualquier actualización sobre esta vulnerabilidad.
Organizations and developers using chainguard.dev/apko for building APK images, particularly those relying on external or untrusted repositories for APK packages, are at risk. Shared hosting environments where multiple users share the same apko installation are also particularly vulnerable, as a compromised APK package from one user could potentially impact other users.
• linux / server: Monitor apko process file system activity using lsof or auditd for unexpected writes outside the intended installation directory.
lsof -p $(pgrep apko) | grep '/outside/intended/path/'• generic web: Inspect APK package metadata for suspicious file paths or directory structures before processing. Use tools like zip -v to examine the contents of the APK.
• go: Review the pkg/apk/fs/rwosfs.go file for instances of filepath.Join() without proper path validation. Look for potential bypasses of intended directory boundaries.
disclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.1.0 de chainguard.dev/apko, que incluye la corrección del commit d8b7887. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente las fuentes de los paquetes APK utilizados y evitar la instalación de paquetes de fuentes no confiables. Implementar controles de acceso estrictos al directorio de instalación de APKs también puede ayudar a limitar el impacto de una posible explotación. No existen reglas WAF o firmas Sigma/YARA específicas disponibles en este momento, pero se recomienda monitorear la actividad del sistema de archivos en busca de patrones sospechosos.
Actualice la versión de apko a la 1.1.1 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura de archivos fuera del directorio base. Puede obtener la última versión desde el repositorio oficial o utilizando el gestor de paquetes correspondiente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25121 is a HIGH severity Path Traversal vulnerability in chainguard.dev/apko, allowing attackers to create directories/symlinks outside the intended installation root via malicious APK packages.
You are affected if you are using chainguard.dev/apko versions prior to 1.1.0 and have not implemented mitigating controls.
Upgrade to version 1.1.0 or later of chainguard.dev/apko. Implement stricter input validation on APK packages if immediate upgrade is not possible.
No active exploitation campaigns have been reported as of the publication date, but the vulnerability's ease of exploitation warrants caution.
Refer to the chainguard.dev/apko GitHub repository for updates and advisories: https://github.com/chainguard-dev/apko
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.