CVE-2026-33481 in syft
الملخص
بحسب VulDB • 10/05/2026
Syft هو أداة سطر أوامر (CLI) ومكتبة Go لتوليد قائمة مواد البرمجيات (SBOM) من صور الحاويات وأنظمة الملفات. في الإصدارات السابقة من Syft قبل الإصدار v1.42.3، لم تكن تتم عملية التنظيف السليم للمساحة التخزينية المؤقتة إذا تمت تعبئتها أثناء عملية الفحص. عند فحص الأرشيفات، يقوم Syft بفك ضغط هذه الأرشيفات إلى مساحة تخزين مؤقتة ثم يفحص المحتويات المفككة. أثناء التشغيل الطبيعي، يقوم Syft بإزالة البيانات المؤقتة التي يكتبها بعد إكمال عملية الفحص. سيؤثر هذا الثغرة الأمنية على مستخدمي Syft الذين يقومون بفحص محتوى قد يؤدي إلى ملء مساحة التخزين المؤقتة، مما يتسبب في رفع Syft لخطأ وإنهاء العملية. عند حدوث الخطأ، ينهي Syft العملية دون إزالة الملفات المؤقتة قيد الاستخدام بشكل صحيح. في اختباراتنا، كان من الأسهل إعادة إنتاج هذه الحالة عن طريق فحص عناصر ضخمة جداً أو عناصر مضغوطة بشدة مثل "القنبلة الزيبية" (zipbomb). ونظراً لأن Syft لا يقوم بتنظيف الملفات المؤقتة، فإن النتيجة تكون ملء مساحة التخزين المؤقتة، مما يمنع التشغيل المستقبلي لـ Syft أو أدوات النظام الأخرى التي تعتمد على توفر مساحة تخزين مؤقتة. تم إصدار التصحيح في الإصدار v1.42.3. يقوم Syft الآن بتنظيف الملفات المؤقتة عند encountering حالة خطأ. لا توجد حلول بديلة لهذه الثغرة الأمنية في Syft. يمكن للمستخدمين الذين يجدون مساحة التخزين المؤقتة الخاصة بهم مستنفدة إزالة الملفات المؤقتة يدوياً.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.