CVE-2026-33481 in syftالمعلومات

الملخص

بحسب VulDB • 10/05/2026

Syft هو أداة سطر أوامر (CLI) ومكتبة Go لتوليد قائمة مواد البرمجيات (SBOM) من صور الحاويات وأنظمة الملفات. في الإصدارات السابقة من Syft قبل الإصدار v1.42.3، لم تكن تتم عملية التنظيف السليم للمساحة التخزينية المؤقتة إذا تمت تعبئتها أثناء عملية الفحص. عند فحص الأرشيفات، يقوم Syft بفك ضغط هذه الأرشيفات إلى مساحة تخزين مؤقتة ثم يفحص المحتويات المفككة. أثناء التشغيل الطبيعي، يقوم Syft بإزالة البيانات المؤقتة التي يكتبها بعد إكمال عملية الفحص. سيؤثر هذا الثغرة الأمنية على مستخدمي Syft الذين يقومون بفحص محتوى قد يؤدي إلى ملء مساحة التخزين المؤقتة، مما يتسبب في رفع Syft لخطأ وإنهاء العملية. عند حدوث الخطأ، ينهي Syft العملية دون إزالة الملفات المؤقتة قيد الاستخدام بشكل صحيح. في اختباراتنا، كان من الأسهل إعادة إنتاج هذه الحالة عن طريق فحص عناصر ضخمة جداً أو عناصر مضغوطة بشدة مثل "القنبلة الزيبية" (zipbomb). ونظراً لأن Syft لا يقوم بتنظيف الملفات المؤقتة، فإن النتيجة تكون ملء مساحة التخزين المؤقتة، مما يمنع التشغيل المستقبلي لـ Syft أو أدوات النظام الأخرى التي تعتمد على توفر مساحة تخزين مؤقتة. تم إصدار التصحيح في الإصدار v1.42.3. يقوم Syft الآن بتنظيف الملفات المؤقتة عند encountering حالة خطأ. لا توجد حلول بديلة لهذه الثغرة الأمنية في Syft. يمكن للمستخدمين الذين يجدون مساحة التخزين المؤقتة الخاصة بهم مستنفدة إزالة الملفات المؤقتة يدوياً.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

20/03/2026

إفشاء

26/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353671

EPSS

0.00408

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!