melange позволяет пользователям создавать пакеты apk с использованием декларативных конвейеров. Начиная с версии 0.14.0 и до версии 0.40.3, злоумышленник, который может повлиять на смешанный файл конфигурации (например, с помощью сценариев CI на основе запросов на включение или сборки как услуги), может читать произвольные файлы из хост-системы. Функция LicensingInfos в pkg/config/config.go считывает файлы лицензий, указанные в авторском праве[].license-path, не проверяя, остаются ли пути в каталоге рабочей области, позволяя проходить путь через последовательности ../. Содержимое пройденного файла внедряется в сгенерированный SBOM в виде текста лицензии, что позволяет извлекать конфиденциальные данные через артефакты сборки. Эта проблема исправлена в версии 0.40.3.
Показать оригинальное описание (английский)
melange allows users to build apk packages using declarative pipelines. From version 0.14.0 to before 0.40.3, an attacker who can influence a melange configuration file (e.g., through pull request-driven CI or build-as-a-service scenarios) could read arbitrary files from the host system. The LicensingInfos function in pkg/config/config.go reads license files specified in copyright[].license-path without validating that paths remain within the workspace directory, allowing path traversal via ../ sequences. The contents of the traversed file are embedded into the generated SBOM as license text, enabling exfiltration of sensitive data through build artifacts. This issue has been patched in version 0.40.3.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N