Plataforma
go
Componente
chainguard.dev/apko
Corrigido em
0.14.9
1.1.0
Uma vulnerabilidade de Path Traversal foi descoberta na abstração de sistema de arquivos dirFS do chainguard.dev/apko. Um atacante capaz de fornecer um pacote APK malicioso (por exemplo, via um repositório comprometido) pode criar diretórios ou links simbólicos fora do diretório de instalação pretendido. A vulnerabilidade está presente nas funções MkdirAll, Mkdir e Symlink em pkg/apk/fs/rwosfs.go, que utilizam filepath.Join() sem validar se o caminho resultante permanece dentro do diretório base. A correção foi implementada na versão 1.1.0.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante escape do ambiente de instalação do APK e potencialmente modifique arquivos ou execute código arbitrário no sistema host. Isso pode levar à exfiltração de dados confidenciais, comprometimento do sistema ou execução de comandos com privilégios elevados. A capacidade de criar links simbólicos fora do diretório de instalação abre portas para ataques mais sofisticados, como a manipulação de arquivos de configuração do sistema ou a substituição de binários críticos. A vulnerabilidade é particularmente preocupante em ambientes de CI/CD onde pacotes APK são construídos e implantados automaticamente, pois um atacante pode comprometer o processo de build injetando um pacote APK malicioso.
A vulnerabilidade foi divulgada em 2026-02-03. Não há evidências de exploração ativa no momento da divulgação. A ausência de um Proof of Concept (PoC) público torna a exploração mais difícil, mas não impossível. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento. A pontuação CVSS de 7.5 (HIGH) indica um risco significativo, especialmente em ambientes onde a segurança do processo de build não é rigorosa.
Organizations and developers using chainguard.dev/apko for building APK images, particularly those relying on external or untrusted repositories for APK packages, are at risk. Shared hosting environments where multiple users share the same apko installation are also particularly vulnerable, as a compromised APK package from one user could potentially impact other users.
• linux / server: Monitor apko process file system activity using lsof or auditd for unexpected writes outside the intended installation directory.
lsof -p $(pgrep apko) | grep '/outside/intended/path/'• generic web: Inspect APK package metadata for suspicious file paths or directory structures before processing. Use tools like zip -v to examine the contents of the APK.
• go: Review the pkg/apk/fs/rwosfs.go file for instances of filepath.Join() without proper path validation. Look for potential bypasses of intended directory boundaries.
disclosure
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar para a versão 1.1.0 do chainguard.dev/apko, que inclui a correção. Se a atualização imediata não for possível, implemente uma validação de caminho rigorosa antes de chamar as funções MkdirAll, Mkdir e Symlink. Isso pode ser feito verificando se o caminho resultante está dentro do diretório base esperado. Considere o uso de uma lista de permissão (whitelist) de caminhos permitidos em vez de uma lista de negação (blacklist) para maior segurança. Além disso, revise e reforce as políticas de segurança do seu repositório de pacotes APK para evitar a ingestão de pacotes maliciosos. Após a atualização, confirme a correção verificando se a criação de diretórios ou links simbólicos fora do diretório de instalação é impedida.
Actualice la versión de apko a la 1.1.1 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura de archivos fuera del directorio base. Puede obtener la última versión desde el repositorio oficial o utilizando el gestor de paquetes correspondiente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-25121 is a HIGH severity Path Traversal vulnerability in chainguard.dev/apko, allowing attackers to create directories/symlinks outside the intended installation root via malicious APK packages.
You are affected if you are using chainguard.dev/apko versions prior to 1.1.0 and have not implemented mitigating controls.
Upgrade to version 1.1.0 or later of chainguard.dev/apko. Implement stricter input validation on APK packages if immediate upgrade is not possible.
No active exploitation campaigns have been reported as of the publication date, but the vulnerability's ease of exploitation warrants caution.
Refer to the chainguard.dev/apko GitHub repository for updates and advisories: https://github.com/chainguard-dev/apko
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.