プラットフォーム
go
コンポーネント
chainguard.dev/melange
修正版
0.11.4
0.40.3
CVE-2026-24843は、chainguard.dev/melangeのQEMUランナーに存在するファイル書き込み権限の脆弱性です。この脆弱性を悪用されると、攻撃者はワークスペースディレクトリ外のファイルに書き込むことが可能となり、機密情報の漏洩やシステムの改ざんなどの深刻な影響を引き起こす可能性があります。影響を受けるバージョンは特定されていませんが、バージョン0.40.3でこの問題が修正されています。
この脆弱性は、攻撃者がQEMUランナーを通じてワークスペース外のファイルシステムにアクセスし、任意のファイルを書き込むことを可能にします。これにより、機密情報(設定ファイル、認証情報など)が漏洩したり、悪意のあるコードが実行されたりする可能性があります。攻撃者は、この脆弱性を利用して、システム全体の制御を奪取し、さらなる攻撃に利用する可能性も考えられます。特に、この脆弱性は、コンテナ環境やCI/CDパイプラインなど、自動化された環境で利用されるchainguard.dev/melangeにおいて、深刻なリスクをもたらす可能性があります。
CVE-2026-24843は、2026年2月5日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、QEMUランナーの脆弱性は、過去に悪用事例が確認されており、注意が必要です。KEVへの登録状況は不明です。公開されているPoCは確認されていません。NVDおよびCISAの関連情報も確認が必要です。
Organizations utilizing Chainguard Melange for container image building or other QEMU-based workflows are at risk. This includes DevOps teams, CI/CD pipelines, and environments where Melange is integrated into automated build processes. Specifically, those relying on older versions of Melange (prior to 0.40.3) are vulnerable.
• go / supply-chain: Inspect Melange's source code for file path manipulation functions. Look for instances where user-supplied input is directly used to construct file paths without proper sanitization.
// Example: Check for direct path concatenation
if strings.Contains(filepath.Clean(userInput), "../") {
// Potential vulnerability
}• generic web: Monitor access logs for unusual file creation attempts outside the expected workspace directory. Look for patterns indicative of path traversal attacks.
# Example: grep for path traversal attempts in access logs
grep "../" /var/log/nginx/access.logdisclosure
エクスプロイト状況
EPSS
0.01% (0% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まず、chainguard.dev/melangeをバージョン0.40.3以降にアップデートすることを推奨します。アップデートが困難な場合は、QEMUランナーのアクセス権限を制限し、ワークスペースディレクトリ外へのファイル書き込みを禁止する設定を検討してください。また、WAFやIDS/IPSなどのセキュリティ対策を導入し、不正なファイルアクセスを検知・遮断することも有効です。さらに、QEMUランナーのログを監視し、異常なファイルアクセスを早期に発見できるようにすることも重要です。アップデート後、ファイル書き込み権限が適切に制限されていることを確認してください。
Actualice melange a la versión 0.40.3 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la escritura de archivos fuera del directorio de trabajo. La actualización evitará que atacantes influyan en el flujo de datos de la máquina virtual QEMU y comprometan el sistema host.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-24843は、chainguard.dev/melangeのQEMUランナーにおけるファイル書き込み権限の脆弱性で、攻撃者がワークスペース外のファイルに書き込むことを可能にします。
chainguard.dev/melangeを利用している場合、影響を受ける可能性があります。バージョン0.40.3より前のバージョンを使用している場合は、特に注意が必要です。
まず、chainguard.dev/melangeをバージョン0.40.3以降にアップデートしてください。アップデートが難しい場合は、QEMUランナーのアクセス権限を制限するなどの対策を講じてください。
現時点では、CVE-2026-24843を悪用した具体的な攻撃事例は報告されていませんが、潜在的なリスクがあるため、注意が必要です。
公式のアドバイザリは、chainguard.devのセキュリティ情報ページで確認できます。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。