Plataforma
go
Componente
chainguard.dev/melange
Corrigido em
0.11.4
0.40.3
A vulnerabilidade CVE-2026-24843 reside no chainguard.dev/melange, especificamente no seu runner QEMU. Ela permite que um atacante escreva arquivos fora do diretório de trabalho designado, potencialmente comprometendo a integridade do sistema. A vulnerabilidade afeta versões anteriores a 0.40.3 e foi publicada em 05 de fevereiro de 2026. A correção está disponível na versão 0.40.3.
Um atacante explorando esta vulnerabilidade pode escrever arquivos em locais arbitrários no sistema de arquivos, além do diretório de trabalho esperado do chainguard.dev/melange. Isso pode levar à execução de código malicioso, modificação de arquivos de configuração críticos, ou até mesmo à tomada de controle do sistema. O impacto potencial é significativo, especialmente em ambientes onde o chainguard.dev/melange é usado para executar tarefas sensíveis ou em infraestruturas compartilhadas. A capacidade de escrever arquivos fora do ambiente isolado representa uma brecha de segurança grave, permitindo a escalada de privilégios e acesso não autorizado a dados confidenciais.
A vulnerabilidade CVE-2026-24843 foi publicada em 05 de fevereiro de 2026. Não há informações disponíveis sobre a existência de KEV ou EPSS score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade (escrita arbitrária de arquivos) sugere um alto potencial de exploração. É recomendável monitorar as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
Organizations utilizing Chainguard Melange for container image building or other QEMU-based workflows are at risk. This includes DevOps teams, CI/CD pipelines, and environments where Melange is integrated into automated build processes. Specifically, those relying on older versions of Melange (prior to 0.40.3) are vulnerable.
• go / supply-chain: Inspect Melange's source code for file path manipulation functions. Look for instances where user-supplied input is directly used to construct file paths without proper sanitization.
// Example: Check for direct path concatenation
if strings.Contains(filepath.Clean(userInput), "../") {
// Potential vulnerability
}• generic web: Monitor access logs for unusual file creation attempts outside the expected workspace directory. Look for patterns indicative of path traversal attacks.
# Example: grep for path traversal attempts in access logs
grep "../" /var/log/nginx/access.logdisclosure
Status do Exploit
EPSS
0.01% (percentil 0%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-24843 é atualizar o chainguard.dev/melange para a versão 0.40.3 ou superior. Se a atualização imediata não for possível devido a incompatibilidades ou interrupções de serviço, considere implementar medidas de contenção, como restringir o acesso ao runner QEMU e monitorar a atividade do sistema de arquivos em busca de escrita de arquivos inesperados. Implementar regras de firewall para limitar o acesso à rede ao componente também pode ajudar a reduzir a superfície de ataque. Após a atualização, verifique se a vulnerabilidade foi corrigida executando testes de regressão para garantir que o comportamento esperado seja restaurado.
Actualice melange a la versión 0.40.3 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la escritura de archivos fuera del directorio de trabajo. La actualización evitará que atacantes influyan en el flujo de datos de la máquina virtual QEMU y comprometan el sistema host.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-24843 is a HIGH severity vulnerability in Chainguard Melange that allows attackers to write files outside the designated workspace, potentially leading to system compromise. It affects versions before 0.40.3.
You are affected if you are using Chainguard Melange versions prior to 0.40.3. Check your installed version and upgrade immediately if vulnerable.
Upgrade Chainguard Melange to version 0.40.3 or later. If immediate upgrade is not possible, implement stricter workspace directory permissions and input validation.
There is currently no evidence of active exploitation in the wild, but vigilance is advised due to the vulnerability's severity.
Refer to the Chainguard security advisories page for the latest information and official announcements regarding CVE-2026-24843.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.