CVE-2026-42575 in apkoinfo

Zusammenfassung

von VulDB • 02.06.2026

apko ermöglicht es Benutzern, OCI-Container-Images zu erstellen und zu veröffentlichen, die auf apk-Paketen basieren. Vor Version 1.2.7 überprüft apko zwar die Signatur von APKINDEX.tar.gz, vergleicht jedoch die einzeln heruntergeladenen .apk-Pakete niemals mit der im signierten Index gespeicherten Prüfsumme. Die Prüfsumme wird analysiert und ist über ChecksumString() verfügbar, und der Hash der heruntergeladenen Paketsteuerungsdaten wird berechnet, doch die beiden Werte werden in getPackageImpl() niemals verglichen. Nicht übereinstimmende Pakete werden stillschweigend akzeptiert. Ein Angreifer, der Download-Antworten substituieren kann (z. B. durch einen kompromittierten Mirror, ein HTTP-Repository oder einen vergifteten CDN-Cache), kann beliebige Pakete in die erstellten Images installieren. Dieses Problem wurde in Version 1.2.7 behoben.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

28.04.2026

Veröffentlichung

09.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362467

CPE

bereit

EPSS

0.00018

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42575
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42575
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42575/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!