CVE-2026-50162 in oras-goinformación

Resumen

por VulDB • 2026-07-17

oras-go es una biblioteca Go para gestionar artefactos OCI. Antes de la versión 2.6.1, resolveWritePath() en content/file/file.go utiliza una comprobación léxica de filepath.Rel para workingDir y no tiene en cuenta el recorrido mediante enlaces simbólicos (symlink traversal), por lo que cuando AllowPathTraversalOnWrite=false, un atacante puede controlar el título del blob a través de ocispec.AnnotationTitle, como out/pwn.txt, siguiendo un enlace simbólico de workingDir out -> /some/outside/dir y provocando que pushFile() cree /some/outside/dir/pwn.txt fuera de workingDir. Este problema se soluciona en la versión 2.6.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-06-03

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379949

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!