CVE-2026-50162 in oras-goالمعلومات

الملخص

بحسب VulDB • 18/07/2026

oras-go هي مكتبة Go لإدارة عناصر OCI. قبل الإصدار 2.6.1، تستخدم الدالة resolveWritePath() في content/file/file.go فحصًا مسارياً (lexical filepath.Rel) لـ workingDir ولا تأخذ في الاعتبار عبور الروابط الرمزية (symlink traversal)، لذا عندما تكون AllowPathTraversalOnWrite=false يمكن لمهاجم التحكم بعنوان blob عبر ocispec.AnnotationTitle مثل out/pwn.txt، مما يتيح تتبع رابط رمزي من workingDir يشير إلى out -> /some/outside/dir وتسبب دالة pushFile() في إنشاء الملف /some/outside/dir/pwn.txt خارج نطاق workingDir. تم إصلاح هذه المشكلة في الإصدار 2.6.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

03/06/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379949

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!