CVE-2026-42575 in apkoالمعلومات

الملخص

بحسب VulDB • 12/05/2026

تتيح أداة apko للمستخدمين بناء ونشر صور حاويات OCI مبنية من حزم apk. قبل الإصدار 1.2.7، كانت apko تتحقق من التوقيع على ملف APKINDEX.tar.gz، لكنها لم تقم مطلقاً بمقارنة الحزم الفردية التي تم تنزيلها بصيغة .apk مع قيمة التجزئة (checksum) المسجلة في الفهرس الموقّع. يتم تحليل قيمة التجزئة وجعلها متاحة عبر الدالة ChecksumString()، كما يتم حساب تجزئة التحكم للحزمة المنزلة، لكن القيمتين لا يتم مقارنتهما أبداً داخل الدالة getPackageImpl(). يتم قبول الحزم غير المتطابقة بصمت. يمكن لمهاجم قادر على استبدال استجابات التنزيل (مثل المرآة المخترقة، أو مستودع HTTP، أو ذاكرة التخزين المؤقت لـ CDN المسمومة) تثبيت حزم عشوائية داخل الصور المبنية. تم إصلاح هذه المشكلة في الإصدار 1.2.7.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

28/04/2026

إفشاء

09/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362467

CPE

جاهز

CWE

CWE-345 (مؤكد)

CVSS

7.5 (CNA)

EPSS

0.00018

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42575
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42575
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42575/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!