Platform
go
Component
chainguard.dev/melange
Opgelost in
0.11.4
0.40.3
CVE-2026-24843 beschrijft een kwetsbaarheid in de QEMU runner van chainguard.dev/melange, waardoor bestanden buiten de toegewezen werkruimte kunnen worden geschreven. Dit kan leiden tot ongeautoriseerde toegang en potentieel schadelijke acties. De kwetsbaarheid beïnvloedt versies van chainguard.dev/melange vóór 0.40.3. Een upgrade naar de gepatched versie is de aanbevolen oplossing.
Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te schrijven, buiten de veilige werkruimte van de melange omgeving. Dit kan leiden tot het overschrijven van kritieke systeembestanden, het uitvoeren van kwaadaardige code of het verkrijgen van ongeautoriseerde toegang tot gevoelige gegevens. De impact is aanzienlijk, aangezien een succesvolle exploitatie de integriteit en vertrouwelijkheid van het systeem kan compromitteren. Een aanvaller kan bijvoorbeeld configuratiebestanden wijzigen om de werking van de melange omgeving te manipuleren of om een backdoor te creëren voor toekomstige toegang.
De kwetsbaarheid werd publiekelijk bekendgemaakt op 5 februari 2026. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat wijst op een potentieel risico, maar de exacte EPSS score is momenteel onbekend.
Organizations utilizing Chainguard Melange for container image building or other QEMU-based workflows are at risk. This includes DevOps teams, CI/CD pipelines, and environments where Melange is integrated into automated build processes. Specifically, those relying on older versions of Melange (prior to 0.40.3) are vulnerable.
• go / supply-chain: Inspect Melange's source code for file path manipulation functions. Look for instances where user-supplied input is directly used to construct file paths without proper sanitization.
// Example: Check for direct path concatenation
if strings.Contains(filepath.Clean(userInput), "../") {
// Potential vulnerability
}• generic web: Monitor access logs for unusual file creation attempts outside the expected workspace directory. Look for patterns indicative of path traversal attacks.
# Example: grep for path traversal attempts in access logs
grep "../" /var/log/nginx/access.logdisclosure
Exploit Status
EPSS
0.01% (0% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 0.40.3 of hoger van chainguard.dev/melange. Indien een upgrade momenteel niet mogelijk is, overweeg dan om de werkruimte directory te beperken en de rechten van de gebruiker die de QEMU runner uitvoert te minimaliseren. Controleer de configuratie van de melange omgeving om te verzekeren dat er geen onnodige rechten worden verleend. Implementeer logging en monitoring om verdachte activiteiten te detecteren, zoals pogingen om bestanden buiten de werkruimte te schrijven.
Actualice melange a la versión 0.40.3 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la escritura de archivos fuera del directorio de trabajo. La actualización evitará que atacantes influyan en el flujo de datos de la máquina virtual QEMU y comprometan el sistema host.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-24843 is a HIGH severity vulnerability in Chainguard Melange that allows attackers to write files outside the designated workspace, potentially leading to system compromise. It affects versions before 0.40.3.
You are affected if you are using Chainguard Melange versions prior to 0.40.3. Check your installed version and upgrade immediately if vulnerable.
Upgrade Chainguard Melange to version 0.40.3 or later. If immediate upgrade is not possible, implement stricter workspace directory permissions and input validation.
There is currently no evidence of active exploitation in the wild, but vigilance is advised due to the vulnerability's severity.
Refer to the Chainguard security advisories page for the latest information and official announcements regarding CVE-2026-24843.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.