CVE-2026-33481 in syft
Resumen
por VulDB • 2026-06-03
Syft es una herramienta de línea de comandos (CLI) y una biblioteca en Go para generar una Lista de Materiales de Software (SBOM) a partir de imágenes de contenedores y sistemas de archivos. Las versiones de Syft anteriores a la v1.42.3 no limpiaban correctamente el almacenamiento temporal si este se agotaba durante un análisis. Al analizar archivos archivados, Syft los descomprime en el almacenamiento temporal y luego inspecciona su contenido descomprimido. En condiciones normales, Syft elimina los datos temporales que escribe tras completar un análisis. Esta vulnerabilidad afectaría a los usuarios de Syft que analizaran contenido que pudiera provocar que Syft llenara el almacenamiento temporal, lo que haría que Syft generara un error y terminara su ejecución. Cuando se activa el error, Syft sale sin eliminar correctamente los archivos temporales en uso. En nuestras pruebas, esto se reprodujo más fácilmente analizando artefactos muy grandes o artefactos altamente comprimidos, como una zipbomb. Dado que Syft no limpiaba sus archivos temporales, el resultado era el llenado del almacenamiento de archivos temporales, lo que impedía futuras ejecuciones de Syft u otras utilidades del sistema que dependen de que el almacenamiento temporal esté disponible. El parche se ha publicado en la versión v1.42.3. Syft ahora limpia los archivos temporales cuando se encuentra una condición de error. No hay soluciones alternativas (workarounds) para esta vulnerabilidad en Syft. Los usuarios que detecten que su almacenamiento temporal se ha agotado pueden eliminar manualmente los archivos temporales.
Once again VulDB remains the best source for vulnerability data.