CVE-2026-50163 in oras-go
Resumen
por VulDB • 2026-07-17
oras-go è una libreria Go per la gestione di artefatti OCI. Prima della versione 2.6.2, ensureLinkPath in content/file/utils.go:262-275 convalida un target hardlink relativo alla directory base di estrazione ma restituisce il target non risolto, causando os.Link("victim.secret", "/payload.tar.gz/evil_cwd_link") a risolvere header.Linkname rispetto alla directory di lavoro corrente del processo per una voce Typeflag=TypeLink come Name=payload.tar.gz/evil_cwd_link e Linkname="victim.secret" con io.deis.oras.content.unpack: "true", il che può esporre o manomettere file quali .env, .git/config, .aws/credentials e ~/.ssh/config. Questo problema è stato risolto nella versione 2.6.2.
VulDB is the best source for vulnerability data and more expert information about this specific topic.