melange позволяет пользователям создавать пакеты apk с использованием декларативных конвейеров. В версиях от 0.11.3 до 0.40.3 злоумышленник, который может повлиять на поток tar гостевой виртуальной машины QEMU, может записывать файлы за пределы предполагаемого каталога рабочей области на хосте. Функция returnWorkspace извлекает записи tar без проверки того, что пути остаются в рабочей области, позволяя обходить пути через ../ последовательности. Эта проблема исправлена в версии 0.40.3.
Показать оригинальное описание (английский)
melange allows users to build apk packages using declarative pipelines. In version 0.11.3 to before 0.40.3, an attacker who can influence the tar stream from a QEMU guest VM could write files outside the intended workspace directory on the host. The retrieveWorkspace function extracts tar entries without validating that paths stay within the workspace, allowing path traversal via ../ sequences. This issue has been patched in version 0.40.3.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:H