HIGHCVE-2026-24843CVSS 8.2

melange QEMU 运行器可能在 chainguard.dev/melange 中向工作区目录之外写入文件

Q: 什么是 CVE-2026-24843 — 文件写入漏洞 in chainguard.dev/melange?

CVE-2026-24843 是 chainguard.dev/melange QEMU 运行器中的一个安全漏洞，允许攻击者在工作区目录之外写入文件，可能导致权限提升或信息泄露。

Q: 我是否受到 CVE-2026-24843 in chainguard.dev/melange 的影响?

如果您正在使用 chainguard.dev/melange 的 0.40.3 之前的版本，则可能受到此漏洞的影响。

Q: 如何修复 CVE-2026-24843 in chainguard.dev/melange?

建议升级到 chainguard.dev/melange 的 0.40.3 或更高版本以修复此漏洞。

Q: CVE-2026-24843 是否正在被积极利用?

目前尚无公开的利用程序，但由于漏洞的严重性，建议采取预防措施。

Q: 在哪里可以找到官方 chainguard.dev/melange 关于 CVE-2026-24843 的公告?

请查阅 chainguard.dev 官方网站或 GitHub 仓库以获取有关 CVE-2026-24843 的最新信息和公告。

平台

组件

chainguard.dev/melange

修复版本

0.11.4

0.40.3

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-24843 描述了 chainguard.dev/melange QEMU 运行器中的一个文件写入漏洞。该漏洞允许攻击者在工作区目录之外写入文件，从而可能导致未经授权的访问或修改系统资源。该漏洞影响所有早于 0.40.3 的版本，已于 2026 年 2 月 5 日公开披露。建议用户尽快升级到 0.40.3 或更高版本以缓解风险。

影响与攻击场景

该漏洞的潜在影响是严重的。攻击者可以利用此漏洞在工作区目录之外写入任意文件，这可能导致多种安全问题。例如，攻击者可以覆盖关键系统文件，导致系统不稳定或完全崩溃。他们还可以写入包含恶意代码的文件，从而在系统上执行任意代码。此外，攻击者还可以利用此漏洞访问敏感数据，例如配置文件或数据库文件。由于 QEMU 运行器通常用于隔离环境，因此此漏洞可能允许攻击者逃逸隔离，并影响到宿主系统。类似的安全漏洞可能导致系统被完全控制。

利用背景

CVE-2026-24843 已于 2026 年 2 月 5 日公开披露。目前尚无公开的利用程序 (PoC)，但漏洞的严重性表明攻击者可能会迅速开发利用程序。该漏洞尚未被添加到 CISA KEV 目录，但由于其潜在影响，应密切关注。目前没有已知的活跃攻击活动，但建议采取预防措施以降低风险。

哪些人处于风险中翻译中…

Organizations utilizing Chainguard Melange for container image building or other QEMU-based workflows are at risk. This includes DevOps teams, CI/CD pipelines, and environments where Melange is integrated into automated build processes. Specifically, those relying on older versions of Melange (prior to 0.40.3) are vulnerable.

检测步骤翻译中…

• go / supply-chain: Inspect Melange's source code for file path manipulation functions. Look for instances where user-supplied input is directly used to construct file paths without proper sanitization.

// Example: Check for direct path concatenation
if strings.Contains(filepath.Clean(userInput), "../") {
    // Potential vulnerability
}

• generic web: Monitor access logs for unusual file creation attempts outside the expected workspace directory. Look for patterns indicative of path traversal attacks.

# Example: grep for path traversal attempts in access logs
grep "../" /var/log/nginx/access.log

攻击时间线

2026-02-05Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

EPSS

0.01% (0% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件chainguard.dev/melange

供应商osv

影响范围修复版本

>= 0.11.3, < 0.40.3 – >= 0.11.3, < 0.40.30.11.4

0.11.30.40.3

弱点分类 (CWE)

CWE-22

时间线

已保留2026-01-27
发布日期2026-02-05
EPSS 更新日期2026-03-23

缓解措施和替代方案

为了减轻 CVE-2026-24843 的风险，最有效的措施是立即升级到 chainguard.dev/melange 的 0.40.3 或更高版本。如果由于兼容性问题无法立即升级，可以考虑使用访问控制列表 (ACL) 来限制 QEMU 运行器对文件系统的访问。此外，可以实施沙箱机制，以进一步隔离 QEMU 运行器。监控文件系统上的异常活动，例如在工作区目录之外创建或修改文件，也有助于检测潜在的攻击。升级后，请验证文件写入权限是否已正确限制，并确认系统运行正常。

修复方法翻译中…

Actualice melange a la versión 0.40.3 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la escritura de archivos fuera del directorio de trabajo. La actualización evitará que atacantes influyan en el flujo de datos de la máquina virtual QEMU y comprometan el sistema host.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-24843 — 文件写入漏洞 in chainguard.dev/melange?