Plateforme
go
Composant
chainguard.dev/melange
Corrigé dans
0.11.4
0.40.3
La vulnérabilité CVE-2026-24843 affecte le runner QEMU de chainguard.dev/melange. Elle permet à un attaquant d'écrire des fichiers en dehors du répertoire de travail prévu, compromettant potentiellement l'intégrité du système. Cette vulnérabilité est corrigée dans la version 0.40.3. La publication de cette vulnérabilité a eu lieu le 5 février 2026.
Cette vulnérabilité représente un risque significatif car elle permet à un attaquant de contourner les mesures de sécurité et d'écrire des fichiers arbitraires sur le système hôte. Un attaquant pourrait potentiellement exécuter du code malveillant, compromettre des données sensibles ou prendre le contrôle du système. L'impact est amplifié si le runner QEMU est utilisé dans un environnement de production ou pour exécuter des charges de travail non fiables. Bien que le runner QEMU soit conçu pour isoler les environnements, cette faille d'écriture de fichier permet de briser cette isolation et d'affecter le système sous-jacent. L'exploitation réussie pourrait mener à une compromission complète du système.
La vulnérabilité CVE-2026-24843 a été publiée le 5 février 2026. Son score CVSS de 8.2 (HIGH) indique une probabilité d'exploitation élevée. Il n'y a pas d'indication d'une inclusion dans le KEV de CISA à ce jour. Aucun proof-of-concept public n'est connu à ce jour, mais la nature de la vulnérabilité rend son exploitation potentiellement simple.
Organizations utilizing Chainguard Melange for container image building or other QEMU-based workflows are at risk. This includes DevOps teams, CI/CD pipelines, and environments where Melange is integrated into automated build processes. Specifically, those relying on older versions of Melange (prior to 0.40.3) are vulnerable.
• go / supply-chain: Inspect Melange's source code for file path manipulation functions. Look for instances where user-supplied input is directly used to construct file paths without proper sanitization.
// Example: Check for direct path concatenation
if strings.Contains(filepath.Clean(userInput), "../") {
// Potential vulnerability
}• generic web: Monitor access logs for unusual file creation attempts outside the expected workspace directory. Look for patterns indicative of path traversal attacks.
# Example: grep for path traversal attempts in access logs
grep "../" /var/log/nginx/access.logdisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 0%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour chainguard.dev/melange vers la version 0.40.3 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il n'existe pas de contournement direct. Il est crucial de limiter l'accès au runner QEMU et de surveiller attentivement les activités suspectes. Une analyse des journaux d'événements peut aider à détecter les tentatives d'exploitation. Envisagez de renforcer les permissions du répertoire de travail pour limiter l'impact potentiel d'une exploitation réussie. Après la mise à jour, vérifiez l'intégrité du système et assurez-vous que les fichiers critiques n'ont pas été modifiés.
Actualice melange a la versión 0.40.3 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la escritura de archivos fuera del directorio de trabajo. La actualización evitará que atacantes influyan en el flujo de datos de la máquina virtual QEMU y comprometan el sistema host.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24843 is a HIGH severity vulnerability in Chainguard Melange that allows attackers to write files outside the designated workspace, potentially leading to system compromise. It affects versions before 0.40.3.
You are affected if you are using Chainguard Melange versions prior to 0.40.3. Check your installed version and upgrade immediately if vulnerable.
Upgrade Chainguard Melange to version 0.40.3 or later. If immediate upgrade is not possible, implement stricter workspace directory permissions and input validation.
There is currently no evidence of active exploitation in the wild, but vigilance is advised due to the vulnerability's severity.
Refer to the Chainguard security advisories page for the latest information and official announcements regarding CVE-2026-24843.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.