Platform
go
Component
chainguard.dev/apko
Opgelost in
0.14.9
1.1.0
Een Path Traversal kwetsbaarheid is ontdekt in de dirFS filesystem abstractie van chainguard.dev/apko. Een aanvaller kan, door een kwaadaardig APK-pakket te leveren (bijvoorbeeld via een gecompromitteerd repository), directories of symbolische links buiten de beoogde installatieroot creëren. Deze kwetsbaarheid treft versies van apko die ouder zijn dan 1.1.0. De kwetsbaarheid is verholpen in release 1.1.0.
Deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te lezen of te schrijven, afhankelijk van de permissies van de gebruiker die de APK installeert. Dit kan leiden tot data-exfiltratie, code-uitvoering of het compromitteren van de hele container. De kwetsbaarheid ontstaat doordat de MkdirAll, Mkdir en Symlink methoden in pkg/apk/fs/rwosfs.go filepath.Join() gebruiken zonder de resulterende paden te valideren. Een aanvaller kan dit misbruiken door paden te construeren die buiten de beoogde installatieroot vallen, waardoor toegang tot gevoelige systeembestanden mogelijk wordt. Dit is vergelijkbaar met kwetsbaarheden waarbij een aanvaller paden kan manipuleren om toegang te krijgen tot bestanden buiten de toegestane directory.
Deze kwetsbaarheid is openbaar bekend sinds 2026-02-03. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de complexiteit van het misbruiken van de kwetsbaarheid is relatief laag. De EPSS score is nog niet bekend, maar gezien de potentiële impact en de openbare bekendmaking, wordt een medium tot hoge waarschijnlijkheid van exploitatie aangenomen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus.
Organizations and developers using chainguard.dev/apko for building APK images, particularly those relying on external or untrusted repositories for APK packages, are at risk. Shared hosting environments where multiple users share the same apko installation are also particularly vulnerable, as a compromised APK package from one user could potentially impact other users.
• linux / server: Monitor apko process file system activity using lsof or auditd for unexpected writes outside the intended installation directory.
lsof -p $(pgrep apko) | grep '/outside/intended/path/'• generic web: Inspect APK package metadata for suspicious file paths or directory structures before processing. Use tools like zip -v to examine the contents of the APK.
• go: Review the pkg/apk/fs/rwosfs.go file for instances of filepath.Join() without proper path validation. Look for potential bypasses of intended directory boundaries.
disclosure
Exploit Status
EPSS
0.07% (22% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 1.1.0 of hoger van chainguard.dev/apko. Als een upgrade momenteel niet mogelijk is, overweeg dan om de APK-installatie te isoleren in een container met beperkte permissies. Implementeer input validatie op de APK-repository om te voorkomen dat kwaadaardige pakketten worden geïnstalleerd. Monitor systeembestanden op onverwachte wijzigingen of creaties. Er zijn geen specifieke WAF-regels of configuratiewerkarounds bekend, aangezien de fix in de code zelf zit. Na de upgrade, verifieer de installatie door te proberen een bestand buiten de installatieroot te creëren en te controleren of dit wordt geblokkeerd.
Actualice la versión de apko a la 1.1.1 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura de archivos fuera del directorio base. Puede obtener la última versión desde el repositorio oficial o utilizando el gestor de paquetes correspondiente.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-25121 is a HIGH severity Path Traversal vulnerability in chainguard.dev/apko, allowing attackers to create directories/symlinks outside the intended installation root via malicious APK packages.
You are affected if you are using chainguard.dev/apko versions prior to 1.1.0 and have not implemented mitigating controls.
Upgrade to version 1.1.0 or later of chainguard.dev/apko. Implement stricter input validation on APK packages if immediate upgrade is not possible.
No active exploitation campaigns have been reported as of the publication date, but the vulnerability's ease of exploitation warrants caution.
Refer to the chainguard.dev/apko GitHub repository for updates and advisories: https://github.com/chainguard-dev/apko
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.