Plateforme
go
Composant
chainguard.dev/apko
Corrigé dans
0.14.9
1.1.0
Une vulnérabilité de traversée de chemin a été découverte dans l'abstraction de système de fichiers dirFS d'apko, un outil de construction d'images de conteneurs. Cette faille permet à un attaquant, en fournissant un paquet APK malveillant, de créer des répertoires ou des liens symboliques en dehors du répertoire d'installation prévu. La vulnérabilité affecte les versions antérieures à 1.1.0 et a été corrigée dans cette version.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de compromettre l'intégrité du système de fichiers de l'image de conteneur. En créant des liens symboliques ou des répertoires en dehors du répertoire d'installation prévu, un attaquant pourrait potentiellement accéder à des fichiers sensibles, modifier des fichiers système ou même exécuter du code arbitraire sur le système hôte. Le risque est amplifié si l'image de conteneur est utilisée dans un environnement de production, car cela pourrait entraîner une compromission à grande échelle. Cette vulnérabilité est similaire à d'autres failles de traversée de chemin où l'absence de validation des chemins d'accès permet à un attaquant de contourner les restrictions de sécurité.
Cette vulnérabilité a été rendue publique le 2026-02-03. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, car elle nécessite un attaquant de fournir un paquet APK malveillant, ce qui peut être difficile à réaliser. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.
Organizations and developers using chainguard.dev/apko for building APK images, particularly those relying on external or untrusted repositories for APK packages, are at risk. Shared hosting environments where multiple users share the same apko installation are also particularly vulnerable, as a compromised APK package from one user could potentially impact other users.
• linux / server: Monitor apko process file system activity using lsof or auditd for unexpected writes outside the intended installation directory.
lsof -p $(pgrep apko) | grep '/outside/intended/path/'• generic web: Inspect APK package metadata for suspicious file paths or directory structures before processing. Use tools like zip -v to examine the contents of the APK.
• go: Review the pkg/apk/fs/rwosfs.go file for instances of filepath.Join() without proper path validation. Look for potential bypasses of intended directory boundaries.
disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour apko vers la version 1.1.0 ou ultérieure, qui corrige cette vulnérabilité. En attendant, des mesures d'atténuation peuvent être mises en œuvre. Il est recommandé de renforcer les contrôles d'accès aux répertoires d'installation d'APK et de désactiver la création de liens symboliques si cela n'est pas nécessaire. L'utilisation d'un système de fichiers en lecture seule pour les images de conteneur peut également réduire le risque d'exploitation. Après la mise à jour, vérifiez l'intégrité des fichiers système et des répertoires pour détecter toute modification non autorisée.
Actualice la versión de apko a la 1.1.1 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura de archivos fuera del directorio base. Puede obtener la última versión desde el repositorio oficial o utilizando el gestor de paquetes correspondiente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-25121 is a HIGH severity Path Traversal vulnerability in chainguard.dev/apko, allowing attackers to create directories/symlinks outside the intended installation root via malicious APK packages.
You are affected if you are using chainguard.dev/apko versions prior to 1.1.0 and have not implemented mitigating controls.
Upgrade to version 1.1.0 or later of chainguard.dev/apko. Implement stricter input validation on APK packages if immediate upgrade is not possible.
No active exploitation campaigns have been reported as of the publication date, but the vulnerability's ease of exploitation warrants caution.
Refer to the chainguard.dev/apko GitHub repository for updates and advisories: https://github.com/chainguard-dev/apko
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.