HIGHCVE-2026-25121CVSS 7.5

apko 在 apko dirFS 中存在路径遍历漏洞，允许在基础目录之外进行文件系统写入

Q: 什么是 CVE-2026-25121 — 路径遍历漏洞在 chainguard.dev/apko 中？

CVE-2026-25121 是 chainguard.dev/apko 文件系统抽象中的一个路径遍历漏洞，允许攻击者创建恶意文件或目录，超出预期安装根目录。

Q: 我是否受到 CVE-2026-25121 在 chainguard.dev/apko 中的影响？

如果您正在使用 apko 1.0.0 或更早版本，则可能受到此漏洞的影响。请立即升级到 1.1.0 或更高版本。

Q: 我如何修复 CVE-2026-25121 在 chainguard.dev/apko 中？

最有效的修复方法是升级到 apko 1.1.0 或更高版本。如果无法立即升级，请实施临时缓解措施，例如限制 APK 仓库的访问权限。

Q: CVE-2026-25121 是否正在被积极利用？

目前没有公开的利用程序，但由于其潜在的严重性，建议尽快修复。

Q: 在哪里可以找到官方 chainguard.dev/apko 关于 CVE-2026-25121 的公告？

请访问 chainguard.dev/apko 的 GitHub 仓库，查找有关此漏洞的官方公告和修复信息：https://github.com/chainguard-dev/apko

平台

组件

chainguard.dev/apko

修复版本

0.14.9

1.1.0

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-25121 描述了 chainguard.dev/apko 中的路径遍历漏洞。该漏洞允许攻击者通过提供恶意APK包，在预期安装根目录之外创建目录或符号链接，从而可能导致未经授权的访问和潜在的系统破坏。该漏洞影响 apko 1.0.0 及更早版本，已通过 1.1.0 版本修复。

影响与攻击场景

攻击者可以利用此漏洞在 apko 的安装过程中创建任意文件或目录，绕过安全限制。这可能导致攻击者在目标系统上执行恶意代码，窃取敏感数据，或进行横向移动。例如，攻击者可以创建一个指向系统关键文件的符号链接，从而修改其行为。由于 apko 广泛用于构建和部署容器镜像，因此此漏洞的潜在影响范围非常广泛，可能影响依赖 apko 的应用程序和基础设施。

利用背景

目前没有公开的利用程序（PoC），但该漏洞的潜在影响较高，建议尽快修复。该漏洞已于2026年2月3日公开，并被添加到NVD数据库中。由于其潜在的严重性，建议将此漏洞视为高优先级。

哪些人处于风险中翻译中…

Organizations and developers using chainguard.dev/apko for building APK images, particularly those relying on external or untrusted repositories for APK packages, are at risk. Shared hosting environments where multiple users share the same apko installation are also particularly vulnerable, as a compromised APK package from one user could potentially impact other users.

检测步骤翻译中…

• linux / server: Monitor apko process file system activity using lsof or auditd for unexpected writes outside the intended installation directory.

lsof -p $(pgrep apko) | grep '/outside/intended/path/'

• generic web: Inspect APK package metadata for suspicious file paths or directory structures before processing. Use tools like zip -v to examine the contents of the APK. • go: Review the pkg/apk/fs/rwosfs.go file for instances of filepath.Join() without proper path validation. Look for potential bypasses of intended directory boundaries.

攻击时间线

2026-02-03Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.07% (22% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件chainguard.dev/apko

供应商osv

影响范围修复版本

>= 0.14.8, < 1.1.1 – >= 0.14.8, < 1.1.10.14.9

0.14.81.1.0

弱点分类 (CWE)

CWE-23

时间线

已保留2026-01-29
发布日期2026-02-03
修改日期2026-02-23
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即升级到 apko 1.1.0 或更高版本，该版本修复了此漏洞。如果无法立即升级，可以考虑以下临时缓解措施：限制 APK 仓库的访问权限，仅允许来自可信来源的 APK 包；实施严格的文件系统权限控制，防止攻击者创建任意文件或目录；监控 apko 的安装过程，检测可疑活动。升级后，请验证安装过程是否正常，并检查系统是否存在未经授权的文件或目录。

修复方法翻译中…

Actualice la versión de apko a la 1.1.1 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura de archivos fuera del directorio base. Puede obtener la última versión desde el repositorio oficial o utilizando el gestor de paquetes correspondiente.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-25121 — 路径遍历漏洞在 chainguard.dev/apko 中？